Az átfogó támadási hullám jellemzői
A ToolShell-lel három kínai fenyegetéscsoport (Budworm/Linen Typhoon, Sheathminer/Violet Typhoon, Storm-2603/Warlock zsarolóvírus) dolgozott, de a Symantec (a Broadcom leányvállalata) friss kutatása szerint további hackerek is használták a módszert a Közel-Keleten, Dél-Amerikában, az USA-ban, Afrikában és Európában. A célpontok között volt közel-keleti telekommunikációs szolgáltató, afrikai állami hivatalok, dél-amerikai kormányügynökségek, amerikai egyetem, afrikai technológiai ügynökség és egy európai pénzintézet.
Ravasz technikai trükkök
A támadások során először webshellt ültettek be, majd egy Go-alapú hátsó ajtó (Zingdoor) következett, amely rendszerinformációkat gyűjtött, fájlműveleteket hajtott végre és távoli parancsvégrehajtást tett lehetővé. Ezután a ShadowPad trójait is betöltötték, majd az orosz KrustyLoader programmal bevetették a Sliver nevű poszt-exploitációs keretrendszert.
Az oldalsó betöltést eredetileg legális Trend Micro és BitDefender futtatható állományokkal valósították meg, míg Dél-Amerikában a Symantec nevéhez hasonló fájlt használtak. Az adattolvajok olyan eszközökkel dolgoztak, mint a ProcDump, Minidump, LsassDumper, valamint a PetitPotam (CVE-2021-36942), illetve a Microsoft Certutil, GoGo Scanner és Revsocks programok.
Újabb kínai csoportok támadnak világszerte
A Symantec szerint a ToolShell sebezhetőséget sokkal több kínai fenyegetéscsoport használja ki, mint ahogy azt korábban tudni lehetett, így a veszély globális szinten is növekszik.
