Китайская хакерская группировка проникла в 25 вузов Вьетнама через SQL-инъекции и уязвимости Telerik UI
Исследователи из Ctrl-Alt-Int3l опубликовали подробный разбор масштабной операции, нацеленной на университеты Вьетнама.
Анализ основывался на открытых каталогах, где злоумышленники по ошибке оставили целый массив данных, включая конфигурации серверов управления, журналы команд и даже исходные коды похищенных систем. Эта оплошность позволила в деталях восстановить ход атаки и увидеть, как действовали нападавшие.
По собранным сведениям, речь идёт о китайской группировке, которая минимум в 25 вузах установила стойкое присутствие. Попадание в сети происходило через эксплуатацию уязвимостей веб-приложений, SQL-инъекции и десериализацию в Telerik UI (CVE-2019-18935). Для закрепления использовались веб-шеллы Godzilla и ByPassGodzilla, загруженные на IIS-серверы, а также создание служебных учётных записей с простыми паролями. На скомпрометированных хостах устанавливались Cobalt Strike и VShell, что обеспечивало двойной канал управления и позволяло совмещать разные методы удалённого контроля.
Особый интерес вызвали журналы .bash_history, где сохранились команды операторов: установка китайского языкового пакета, генерация сертификатов, запуск серверов Cobalt Strike и Fast Reverse Proxy, загрузка Metаsploit. Эксперты смогли поднять в контролируемой среде копию Cobalt Strike-сервера и получить доступ к полным спискам жертв, их IP-адресам и логам действий. Всего обнаружено 63 рабочих станции с установленными маяками, при этом первый тестовый был зарегистрирован с китайского IP, что дополнительно указало на происхождение операции.
Юлия Варава