Os sistemas dos jogos Nacionais da China ocorridos no final do ano passado, passaram por um ataque de hacker antes do evento acontecer. Pesquisadores da empresa de segurança cibernética Avast descobriram que um agente de ameaça conseguiu violar um servidor dos jogos Nacionais da China.
Ataque aos servidores dos jogos Nacionais da China dias antes do evento
O evento, ocorrido em 15 de setembro de 2021 em Shaanxi (China), é uma versão nacional das Olimpíadas com apenas atletas locais. Os atacantes invadiram um servidor da Web em 3 de setembro e implantaram vários shells da Web reversos para estabelecer uma posição permanente na rede de destino.
De acordo com as descobertas dos especialistas, os agentes de ameaças iniciaram uma fase de reconhecimento em agosto. Eles teriam realizado alguns testes para determinar qual tipo de arquivo era possível enviar para o servidor. Para realizar os testes, os invasores parecem ter explorado uma vulnerabilidade no servidor web.
Os invasores tentaram enviar arquivos com diferentes tipos de arquivo e também extensões de arquivo, como uma imagem legítima com diferentes extensões de arquivo: ico, lua, js, luac, txt, html e rar.
Descobertas da Avast
D eacordo com a Avast, “depois de obter conhecimento sobre os tipos de arquivos bloqueados e permitidos, eles tentaram enviar o código executável. Claro, eles começaram a enviar PoCs em vez de executar diretamente um webshell porque o envio de PoCs é mais furtivo e também permite obter conhecimento sobre o que o código malicioso pode fazer”.
“Por exemplo, um dos arquivos enviados foi este script Lua camuflado como uma imagem (20210903-160250-168571-ab1c20.jpg)”. Os atacantes reconfiguraram o servidor web fazendo upload de um arquivo de configuração, camuflado como um arquivo, que permitia a execução de scripts lua.
Especialistas encontraram evidências de que o servidor foi configurado para executar novos threads em um pool de threads que não funcionou para o webshell Rebeyond Behinder. Então, como uma carga útil final, os invasores carregaram e executaram um servidor Tomcat inteiro devidamente configurado e armado com o Rebeyond Behinder.
Depois de obter acesso ao servidor, os invasores tentaram usar exploits de maneira automatizada. Os invasores conseguiram carregar algumas ferramentas para o servidor e executar um scanner de rede (fscan) e uma estrutura de exploração personalizada com um clique escrita em Go e distribuída como um único binário.
“O procedimento seguido pelos atacantes que invadiram os 14º Jogos Nacionais da China não é novo. Eles obtiveram acesso ao sistema explorando uma vulnerabilidade no servidor web”, afirma a Avast. A empresa informou que a violação de segurança parece ter sido resolvida antes do início dos jogos, no entanto, os especialistas não conseguiram determinar o tipo de informação exfiltrada pelo agente da ameaça.
Via: SecurityAffairs
