‘China Chopper’ web shell makes a comeback in Lebanon, other Asian countries

Cisco Talos พบการกลับมาใช้งาน China Chopper อีกครั้ง ในเลบานอนและประเทศอื่นๆ ในเอเชีย

เครื่องมือการแฮกอย่าง web shell ที่รู้กันในนาม China Chopper พบครั้งแรกเมื่อเก้าปีที่แล้วและถูกใช้โดยกลุ่มที่เกี่ยวข้องกับการแฮกที่ได้รับการสนับสนุนจากรัฐบาลจีน ถูกพบการกลับมาใช้งานอีกครั้ง web shell คือสคริปต์ที่ยอมให้ผู้โจมตีควบคุมการเข้าถึงเซิฟเวอร์ที่ทำงานบนเว็บแอปพลิเคชัน การใช้ช่องโหว่นี้มักไม่สามารถตรวจพบได้

“China Chopper คือ web shell ที่แนบเนียนโดยไม่ได้รับความสนใจมากนัก” นักวิจัย FireEye กล่าวในปี 2013 โดยจาก China Chopper เวอร์ชั่นที่ Cisco Talos พบในปัจจุบันใช้โค้ดเพียง 1 บรรทัด

แม้จะซ่อนตัวอย่างแนบเนียน แต่ก็พบการใช้งานหลายครั้งในช่วงหลายปีที่ผ่านมา China Chopper ถูกใช้ไปในวงกว้างและจำนวนผู้ไม่หวังดีที่ใช้มันก็มีโอกาสจะเพิ่มขึ้นเรื่อยๆ ในระยะสองปีให้หลัง

Cisco Talos ยกตัวอย่างการใช้ China Chopper สามเคส ซึ่งน่าจะเกิดจากกลุ่มคนละกลุ่ม
* แคมเปญแรกที่มีเป้าหมายเป็นองค์กรของรัฐบาลเอเชียเพื่อขโมยเอกสารและสำเนาดาต้าเบสโดยการติดตั้ง China Chopper บนเว็บเซิฟเวอร์ไม่กี่ตัว
* ในแคมเปญที่สองที่เผยให้ทราบว่ามีผู้โจมหลายคน ransomware หลายตัว รวมถึง Sodinokibi และ GandCrab ที่ถูกใช้โดยมีเป้าหมายเป็นองค์กรในเลบานอน การโจมตีในกรณีนี้จะขโมยรหัสผ่านบางตัวใน local memory และใช้ remote access tool อย่าง Gh0stRAT และ Venom
* แคมเปญที่สามในสองปีที่ผ่านมา ได้ระบุเป้าหมายเป็นผู้ให้บริการเว็บโฮสต์ในเอเชีย และทำการบุกรุกวินโดว์เซิฟเวอร์นานกว่าสิบเดือน

นักวิจัยหลายคนได้เชื่อมโยงการโจมตีของ China Chopper ก่อนหน้านี้กับแฮกเกอร์ชาวจีน แต่ Talos คิดว่ามันไม่สอดคล้องกับแคมเปญล่าสุด

นักวิจัย Cybereason ได้ระบุว่า China Chopper ในปีที่ผ่านมา ได้ถูกใช้ในเชิง “การโจมตีถาวรแบบขั้นสูง” ในการต่อต้านผู้ให้บริการโทรคมนาคมที่ใช้เครื่องมือและเทคนิคโดยเกี่ยวข้องกับผู้ไม่หวังดีชาวจีน เช่น APT10

ผู้ที่มีรัฐหนุนหลังมีความเชื่อมโยงกับชาวจีน เช่น กลุ่ม cyber-espionage Leviathan หรือ Threat Group-3390 มักจะใช้ China Chopper ตามที่ MITRE กล่าว Leviathan กลุ่มที่นักวิจัย FireEye ใน APT40 โดย FireEye คาดการณ์ว่าเหล่าสมาชิกผู้ก่อการร้ายนี้เป็นผู้ขับเคลื่อนความสามารถของกองทัพเรือจีนให้ทันสมัย

web shell นี้แพร่หลาย จึงทำให้ผู้ไม่หวังดีกลุ่มไหนก็ใช้มันได้ นี่หมายความว่าแทบเป็นไปไม่ได้เลยที่จะระบุว่ากลุ่มไหนโจมตีโดยอ้างจากการใช้ China Chopper เท่านั้น ซึ่งจากการ forensic ระบุว่ามีการใช้คำสั่ง RAR ที่เจาะจงในการโจมตี ทำให้ Talos เชื่อว่าการพบการใช้งาน China Chopper ในครั้งนี้แตกต่างจากกลุ่มที่เคยพบมาก่อนอย่างแฮกเกอร์ชาวจีน

ที่มา:cyberscoop