В минувшем году специалисты Лаборатории Касперского обнаружили волну атак, совершенных APT-группой DeftTorero (другое ее не менее известное название – Volatile Cedar). Данная группа была обнаружена еще в 2012 году, целью ее атак, как правило, становятся правительственные, военные, образовательные, корпоративные и телекоммуникационные отрасли. Ранее для сбора конфиденциальной информации группа активно использовала RAT троян Explosive.
На какое-то время DeftTorero прекратила активность, но продолжила ее в 2021 году. Тогда же эксперты Лаборатории Касперского сделали предположение, что мошенники изменили метод определения поведения и стратегий для кибератак (TTPs) для того, чтобы замаскировать свою деятельность с использованием бесфайловых вредоносных программ и оставаться в тени.
Результаты нового расследования говорят о том, что для установки веб-шелла группа стала использовать форму загрузки файлов, а также уязвимость внедрения команд веб-приложения на сайте или в песочнице, размещенных на целевом веб-сервере.
Специалисты предполагают, что в некоторых случаях для развертывания вредоносной веб-оболочки мошенники использовали предварительно установленные администраторами сервера плагины, а также учетные данные сервера (большинство развернутых веб-оболочек было создано из репозиториев GitHub).
Эксперты рекомендуют организациям на постоянной основе отслеживать уязвимости в общедоступных веб-приложениях и следить за целостностью файлов веб-приложений.