29/08/19
Бэкдор China Chopper по-прежнему остается актуальным, активным и эффективным даже спустя девять лет после того, как о нем впервые стало известно. За последние два года несколько киберпреступных группировок использовали China Chopper в рамках своих вредоносных кампаний, сообщает в блоге исследовательская группа Cisco Talos.
Код представляет собой web-оболочку, известную как China Chopper. China Chopper позволяет злоумышленникам получать удаленный доступ к серверам, на которых запущены web-приложения. По словам исследователей, данную оболочку достаточно сложно обнаружить.
Несмотря на скрытность web-оболочки, за последние несколько лет она неоднократно была замечена в различных вредоносных кампаниях. В большинстве случаев такое внимание общественности приводит к прекращению атак со стороны преступников, однако операторы стали использовать ее чаще за последние два года.
В своем блоге Cisco Talos рассказала о трех кампаниях, в рамках которых использовался China Chopper. Первая была нацелена на правительственную организацию в Азии с целью украсть документы и копии баз. Для этого на нескольких серверах устанавливался бэкдор China Chopper. Во втором случае организация в Ливане подверглась ряду кибератак, в том числе с использованием вымогательского ПО Sodinokibi и GandCrab. Для добычи данных и удаленного доступа использовались инструменты Gh0stRAT и Venom. Третья кампания была нацелена на азиатского хостинг-провайдера. Атака на серверы Windows длилась на протяжении 10 месяцев.
По словам специалистов, web-оболочка широко доступна и может быть использована любым преступником. Таким образом связать атаки с определенной группировкой, полагаясь только на присутствие China Chopper, практически невозможно.
