Содержимое
Ткач муравей Китайская Weaver Ant несколько лет сидела в системах крупного телеком-оператора. Подозрительную активность выявили в Sygnia. По их словам, хакеры создали целую инфраструктуру через маршрутизаторы Zyxel. В ходе расследования было обнаружено несколько вариантов бэкдора China Chopper, позволяющего получить удалённый доступ и контроль над серверами жертв. Также найдена ранее неизвестная веб-оболочка INMemory, выполняющая полезные нагрузки напрямую в памяти хоста. Сторонняя библиотека eval.dll помогала запускать код без привлечения внимания. Хакеры применяли метод туннелирования веб-оболочек, предполагающий перенаправление команд с одного сервера на другой через обособленные сегменты сети, каждый из которых функционировал как прокси и на своём этапе передавал зашифрованные данные серверам управления. Вероятно, целью деятельности Weaver Ant был шпионаж. В течение четырёх лет они выгружали учётные данные, журналы доступа и файлы конфигурации. НеКасперский