“แฮกเกอร์จีนใช้คีย์ ASP.NET ที่หลุด – ฝัง TOLLBOOTH Backdoor และ Rootkit บน IIS Server ทั่วโลก!”
Elastic Security Labs และ Texas A&M University System Cybersecurity เผยการค้นพบแคมเปญโจมตีจากกลุ่มแฮกเกอร์ที่พูดภาษาจีน ซึ่งใช้คีย์ ASP.NET ที่ถูกเปิดเผยต่อสาธารณะในการเจาะระบบ Microsoft IIS Server ที่ตั้งค่าผิดพลาด
แฮกเกอร์ใช้คีย์ machineKey ที่หลุดจากเอกสาร Microsoft และ StackOverflow เพื่อสร้าง payload ที่สามารถ deserialization ผ่าน ViewState ได้ ทำให้สามารถรันคำสั่งบนเซิร์ฟเวอร์ได้โดยไม่ต้องยืนยันตัวตน
หลังจากเจาะระบบได้แล้ว พวกเขาจะติดตั้ง backdoor ชื่อว่า TOLLBOOTH ซึ่งเป็น IIS module ที่มีความสามารถทั้ง SEO cloaking, webshell, และ command execution โดยมี webshell ซ่อนอยู่ที่ /mywebdll พร้อมรหัสผ่าน hack123456!
TOLLBOOTH ยังสามารถแยกแยะระหว่าง bot ของ search engine กับผู้ใช้จริง เพื่อแสดงเนื้อหาหลอกลวงให้ bot เห็น (เพื่อดัน SEO) และ redirect ผู้ใช้ไปยังเว็บไซต์อันตราย ซึ่งเป็นเทคนิคที่เรียกว่า link farm network
หากวิธีฝัง backdoor ล้มเหลว แฮกเกอร์จะใช้เครื่องมือ Remote Monitoring & Management (RMM) ชื่อ GotoHTTP เพื่อควบคุมเครื่องผ่านเบราว์เซอร์โดยตรง
นอกจากนี้ยังพบ rootkit ระดับ kernel ที่ชื่อว่า HIDDENDRIVER ซึ่งดัดแปลงจากโครงการโอเพ่นซอร์สชื่อ “Hidden” โดยใช้เทคนิค DKOM (Direct Kernel Object Manipulation) เพื่อซ่อน process, ไฟล์ และ registry key จากเครื่องมือวิเคราะห์ระบบ
การโจมตีนี้ถูกจัดกลุ่มเป็น REF3927 และพบว่ามีความเชื่อมโยงกับแคมเปญที่ Microsoft และ AhnLab เคยรายงานมาก่อน โดยมีเป้าหมายเป็นเซิร์ฟเวอร์ IIS กว่า 571 เครื่องทั่วโลก ยกเว้นในประเทศจีน ซึ่งสอดคล้องกับพฤติกรรมของกลุ่มแฮกเกอร์จีนที่มักหลีกเลี่ยงการโจมตีภายในประเทศตัวเอง
วิธีการโจมตี
ใช้คีย์ ASP.NET machineKey ที่ถูกเปิดเผยสู่สาธารณะ
สร้าง ViewState payload เพื่อรันคำสั่งบน IIS Server
ติดตั้ง TOLLBOOTH IIS module เป็น backdoor
ใช้ GotoHTTP หากฝัง backdoor ไม่สำเร็จ
ติดตั้ง rootkit HIDDENDRIVER เพื่อซ่อนการทำงาน
ความสามารถของ TOLLBOOTH
มี webshell ซ่อนอยู่ที่ /mywebdll พร้อมรหัสผ่าน
รองรับการอัปโหลดไฟล์และรันคำสั่ง
มี endpoint สำหรับ health check, debug และ clean
มี SEO cloaking engine เพื่อหลอก bot และ redirect ผู้ใช้
ใช้ JSON config จากเซิร์ฟเวอร์ควบคุม
ความสามารถของ HIDDENDRIVER
ใช้เทคนิค DKOM เพื่อซ่อน process, ไฟล์ และ registry
มี companion app ชื่อ HIDDENCLI เขียนด้วยภาษาจีน
ปรับปรุงจากโปรเจกต์ “Hidden” ด้วยฟีเจอร์ AMSI bypass และ whitelist process
ซ่อนตัวจากเครื่องมืออย่าง Process Explorer ได้
ขอบเขตของการโจมตี
พบการติดเชื้อใน IIS Server อย่างน้อย 571 เครื่อง
ครอบคลุมหลายอุตสาหกรรม เช่น การเงิน โลจิสติกส์ การศึกษา
ไม่มีเหยื่อในประเทศจีน – สะท้อนการใช้ geofencing
พบการติดตั้งซ้ำในหลายองค์กร แสดงว่าปัญหายังไม่ถูกแก้ที่ต้นเหตุ
https://securityonline.info/chinese-hackers-exploit-exposed-asp-net-keys-to-deploy-tollbooth-iis-backdoor-and-kernel-rootkit/
Elastic Security Labs และ Texas A&M University System Cybersecurity เผยการค้นพบแคมเปญโจมตีจากกลุ่มแฮกเกอร์ที่พูดภาษาจีน ซึ่งใช้คีย์ ASP.NET ที่ถูกเปิดเผยต่อสาธารณะในการเจาะระบบ Microsoft IIS Server ที่ตั้งค่าผิดพลาด
แฮกเกอร์ใช้คีย์ machineKey ที่หลุดจากเอกสาร Microsoft และ StackOverflow เพื่อสร้าง payload ที่สามารถ deserialization ผ่าน ViewState ได้ ทำให้สามารถรันคำสั่งบนเซิร์ฟเวอร์ได้โดยไม่ต้องยืนยันตัวตน
หลังจากเจาะระบบได้แล้ว พวกเขาจะติดตั้ง backdoor ชื่อว่า TOLLBOOTH ซึ่งเป็น IIS module ที่มีความสามารถทั้ง SEO cloaking, webshell, และ command execution โดยมี webshell ซ่อนอยู่ที่ /mywebdll พร้อมรหัสผ่าน hack123456!
TOLLBOOTH ยังสามารถแยกแยะระหว่าง bot ของ search engine กับผู้ใช้จริง เพื่อแสดงเนื้อหาหลอกลวงให้ bot เห็น (เพื่อดัน SEO) และ redirect ผู้ใช้ไปยังเว็บไซต์อันตราย ซึ่งเป็นเทคนิคที่เรียกว่า link farm network
หากวิธีฝัง backdoor ล้มเหลว แฮกเกอร์จะใช้เครื่องมือ Remote Monitoring & Management (RMM) ชื่อ GotoHTTP เพื่อควบคุมเครื่องผ่านเบราว์เซอร์โดยตรง
นอกจากนี้ยังพบ rootkit ระดับ kernel ที่ชื่อว่า HIDDENDRIVER ซึ่งดัดแปลงจากโครงการโอเพ่นซอร์สชื่อ “Hidden” โดยใช้เทคนิค DKOM (Direct Kernel Object Manipulation) เพื่อซ่อน process, ไฟล์ และ registry key จากเครื่องมือวิเคราะห์ระบบ
การโจมตีนี้ถูกจัดกลุ่มเป็น REF3927 และพบว่ามีความเชื่อมโยงกับแคมเปญที่ Microsoft และ AhnLab เคยรายงานมาก่อน โดยมีเป้าหมายเป็นเซิร์ฟเวอร์ IIS กว่า 571 เครื่องทั่วโลก ยกเว้นในประเทศจีน ซึ่งสอดคล้องกับพฤติกรรมของกลุ่มแฮกเกอร์จีนที่มักหลีกเลี่ยงการโจมตีภายในประเทศตัวเอง
วิธีการโจมตี
ใช้คีย์ ASP.NET machineKey ที่ถูกเปิดเผยสู่สาธารณะ
สร้าง ViewState payload เพื่อรันคำสั่งบน IIS Server
ติดตั้ง TOLLBOOTH IIS module เป็น backdoor
ใช้ GotoHTTP หากฝัง backdoor ไม่สำเร็จ
ติดตั้ง rootkit HIDDENDRIVER เพื่อซ่อนการทำงาน
ความสามารถของ TOLLBOOTH
มี webshell ซ่อนอยู่ที่ /mywebdll พร้อมรหัสผ่าน
รองรับการอัปโหลดไฟล์และรันคำสั่ง
มี endpoint สำหรับ health check, debug และ clean
มี SEO cloaking engine เพื่อหลอก bot และ redirect ผู้ใช้
ใช้ JSON config จากเซิร์ฟเวอร์ควบคุม
ความสามารถของ HIDDENDRIVER
ใช้เทคนิค DKOM เพื่อซ่อน process, ไฟล์ และ registry
มี companion app ชื่อ HIDDENCLI เขียนด้วยภาษาจีน
ปรับปรุงจากโปรเจกต์ “Hidden” ด้วยฟีเจอร์ AMSI bypass และ whitelist process
ซ่อนตัวจากเครื่องมืออย่าง Process Explorer ได้
ขอบเขตของการโจมตี
พบการติดเชื้อใน IIS Server อย่างน้อย 571 เครื่อง
ครอบคลุมหลายอุตสาหกรรม เช่น การเงิน โลจิสติกส์ การศึกษา
ไม่มีเหยื่อในประเทศจีน – สะท้อนการใช้ geofencing
พบการติดตั้งซ้ำในหลายองค์กร แสดงว่าปัญหายังไม่ถูกแก้ที่ต้นเหตุ
https://securityonline.info/chinese-hackers-exploit-exposed-asp-net-keys-to-deploy-tollbooth-iis-backdoor-and-kernel-rootkit/
🕳️ “แฮกเกอร์จีนใช้คีย์ ASP.NET ที่หลุด – ฝัง TOLLBOOTH Backdoor และ Rootkit บน IIS Server ทั่วโลก!”
Elastic Security Labs และ Texas A&M University System Cybersecurity เผยการค้นพบแคมเปญโจมตีจากกลุ่มแฮกเกอร์ที่พูดภาษาจีน ซึ่งใช้คีย์ ASP.NET ที่ถูกเปิดเผยต่อสาธารณะในการเจาะระบบ Microsoft IIS Server ที่ตั้งค่าผิดพลาด
แฮกเกอร์ใช้คีย์ machineKey ที่หลุดจากเอกสาร Microsoft และ StackOverflow เพื่อสร้าง payload ที่สามารถ deserialization ผ่าน ViewState ได้ ทำให้สามารถรันคำสั่งบนเซิร์ฟเวอร์ได้โดยไม่ต้องยืนยันตัวตน
หลังจากเจาะระบบได้แล้ว พวกเขาจะติดตั้ง backdoor ชื่อว่า TOLLBOOTH ซึ่งเป็น IIS module ที่มีความสามารถทั้ง SEO cloaking, webshell, และ command execution โดยมี webshell ซ่อนอยู่ที่ /mywebdll พร้อมรหัสผ่าน hack123456!
TOLLBOOTH ยังสามารถแยกแยะระหว่าง bot ของ search engine กับผู้ใช้จริง เพื่อแสดงเนื้อหาหลอกลวงให้ bot เห็น (เพื่อดัน SEO) และ redirect ผู้ใช้ไปยังเว็บไซต์อันตราย ซึ่งเป็นเทคนิคที่เรียกว่า link farm network
หากวิธีฝัง backdoor ล้มเหลว แฮกเกอร์จะใช้เครื่องมือ Remote Monitoring & Management (RMM) ชื่อ GotoHTTP เพื่อควบคุมเครื่องผ่านเบราว์เซอร์โดยตรง
นอกจากนี้ยังพบ rootkit ระดับ kernel ที่ชื่อว่า HIDDENDRIVER ซึ่งดัดแปลงจากโครงการโอเพ่นซอร์สชื่อ “Hidden” โดยใช้เทคนิค DKOM (Direct Kernel Object Manipulation) เพื่อซ่อน process, ไฟล์ และ registry key จากเครื่องมือวิเคราะห์ระบบ
การโจมตีนี้ถูกจัดกลุ่มเป็น REF3927 และพบว่ามีความเชื่อมโยงกับแคมเปญที่ Microsoft และ AhnLab เคยรายงานมาก่อน โดยมีเป้าหมายเป็นเซิร์ฟเวอร์ IIS กว่า 571 เครื่องทั่วโลก ยกเว้นในประเทศจีน ซึ่งสอดคล้องกับพฤติกรรมของกลุ่มแฮกเกอร์จีนที่มักหลีกเลี่ยงการโจมตีภายในประเทศตัวเอง
✅ วิธีการโจมตี
➡️ ใช้คีย์ ASP.NET machineKey ที่ถูกเปิดเผยสู่สาธารณะ
➡️ สร้าง ViewState payload เพื่อรันคำสั่งบน IIS Server
➡️ ติดตั้ง TOLLBOOTH IIS module เป็น backdoor
➡️ ใช้ GotoHTTP หากฝัง backdoor ไม่สำเร็จ
➡️ ติดตั้ง rootkit HIDDENDRIVER เพื่อซ่อนการทำงาน
✅ ความสามารถของ TOLLBOOTH
➡️ มี webshell ซ่อนอยู่ที่ /mywebdll พร้อมรหัสผ่าน
➡️ รองรับการอัปโหลดไฟล์และรันคำสั่ง
➡️ มี endpoint สำหรับ health check, debug และ clean
➡️ มี SEO cloaking engine เพื่อหลอก bot และ redirect ผู้ใช้
➡️ ใช้ JSON config จากเซิร์ฟเวอร์ควบคุม
✅ ความสามารถของ HIDDENDRIVER
➡️ ใช้เทคนิค DKOM เพื่อซ่อน process, ไฟล์ และ registry
➡️ มี companion app ชื่อ HIDDENCLI เขียนด้วยภาษาจีน
➡️ ปรับปรุงจากโปรเจกต์ “Hidden” ด้วยฟีเจอร์ AMSI bypass และ whitelist process
➡️ ซ่อนตัวจากเครื่องมืออย่าง Process Explorer ได้
✅ ขอบเขตของการโจมตี
➡️ พบการติดเชื้อใน IIS Server อย่างน้อย 571 เครื่อง
➡️ ครอบคลุมหลายอุตสาหกรรม เช่น การเงิน โลจิสติกส์ การศึกษา
➡️ ไม่มีเหยื่อในประเทศจีน – สะท้อนการใช้ geofencing
➡️ พบการติดตั้งซ้ำในหลายองค์กร แสดงว่าปัญหายังไม่ถูกแก้ที่ต้นเหตุ
https://securityonline.info/chinese-hackers-exploit-exposed-asp-net-keys-to-deploy-tollbooth-iis-backdoor-and-kernel-rootkit/
0 ความคิดเห็น
0 การแบ่งปัน
38 มุมมอง
0 รีวิว
English