一个与中国有联系的高级威胁组织,被确定为 Weaver Ant,渗透到一家主要的亚洲电信提供商的网络,通过使用受感染的 Zyxel CPE 路由器,四年多来一直没有被发现。该小组采用了复杂的工具和技术,包括 China Chopper 后门的变体和名为 INMemory 的定制 Web shell,该 shell 在主机的内存中执行有效载荷。
Weaver Ant 的持久性体现在他们部署了一个操作中继盒网络,使用受感染的路由器来代理流量,从而隐藏了他们的基础设施。他们的高级方法包括使用 AES 加密的 Web Shell 来远程控制服务器并绕过防火墙限制,最终扩展到名为 INMemory 的高级 Web Shell 以进行隐蔽操作。
为了避免被发现,Weaver Ant 使用了被动网络流量捕获和一种称为“Web shell 隧道”的复杂技术,该技术跨不同的网段路由流量,以在受害者的基础设施内创建一个隐藏的命令和控制网络。这种方法使该小组能够有效地管理和泄露数据,而不会发出警报。
来源: 来源