Уязвимости в Microsoft Exchange используются для установки web-оболочек China Chopper

Правительство США обновило свое руководство для организаций по устранению уязвимостей в Microsoft Exchange, известных как ProxyLogon, добавив в него семь web-оболочек China Chopper, успешно использующихся киберпреступниками в атаках на почтовые серверы.

Агентство кибербезопасности и безопасности инфраструктуры (Cybersecurity and Infrastructure Security Agency, CISA) Министерства внутренней безопасности США обновило свою web-страницу Mitigate Microsoft Exchange Server Vulnerabilities, посвященную узявимостям ProxyLogon и созданную после того, как 2 марта 2021 года компания Microsoft выпустила для них экстренные исправления. На страницу были добавлены семь отчетов с результатами анализа вредоносного ПО, и в каждом из них говорится о web-оболочках China Chopper.

После успешного взлома почтового сервера в целях получения начального доступа в сети атакуемых организаций злоумышленники обычно загружают web-оболочку для обеспечения удаленного администрирования. Web-оболочки используются в нескольких целях. Помимо удаленного администрирования, злоумышленники также могут использовать их для кражи конфиденциальной информации и учетных данных или для загрузки дополнительного вредоносного ПО для осуществления дальнейшей вредоносной активности.

С помощью web-оболочек хакеры также могут передавать команды хостам внутри сети без прямого доступа в интернет, или использовать их в качестве C&C-инфраструктуры для управления ботнетом или для компрометации большего количества внешних сетей.