image

Amerikaanse ziekenhuizen gewaarschuwd voor Godzilla webshell

woensdag 13 november 2024, 16:57 door Redactie, 5 reacties

Het Amerikaanse ministerie van Volksgezondheid heeft ziekenhuizen en andere medische instellingen gewaarschuwd voor de 'Godzilla webshell' die bij aanvallen wordt ingezet en lastig te detecteren is (pdf). Een webshell is een programma dat aanvallers op een gecompromitteerde server plaatsen om zo toegang tot de server te behouden en verdere aanvallen te kunnen uitvoeren.

De Godzilla webshell is 'filesless' en wordt in het geheugen van een gecompromitteerde server geladen. Eind augustus kwam antivirusbedrijf Trend Micro met een analyse waarin het de webshell een 'in-memory fileless backdoor' noemde. Het feit dat de webshell fileless is maakt het lastig te detecteren, aldus de virusbestrijder. Door alleen in het geheugen actief te blijven kan de malware schijfgebaseerde detectiemechanismes omzeilen.

Daarnaast gebruikt de webshell AES-encryptie voor de communicatie, wat detectie verder kan bemoeilijken. Bij recente aanvallen waarbij Godzilla werd gebruikt, maakten de aanvallers gebruik van CVE-2023-22527. Een bekende kwetsbaarheid in Atlassian Confluence Data Center and Server waardoor een ongeauthenticeerde aanvaller op afstand code op de kwetsbare server kan uitvoeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Aanvallers maken echter ook gebruik van andere kwetsbaarheden, waaronder één in Zoho ManageEngine ADSelfService Plus.

"Vanwege de grote functionaliteit en continue ontwikkeling van Godzilla is het niet praktisch om een lijst op te stellen van van verdedigings- en mitigatiestappen die over een lange periode genomen moeten worden", aldus het Office of Information Security van het Amerikaanse ministerie van Volksgezondheid. Dat wijst naar een rapport van het Amerikaanse cyberagentschap CISA over de Godzilla webshell en maatregelen die in het algemeen tegen webshells genomen kunnen worden.

Reacties (5)
13-11-2024, 18:55 door Anoniem
Eigenlijk weer een oude truc. Vroeger heette dat memory resident en de enige methode om de malware te verwijderen was het uitzetten van de client computer (en in het geval van een laptop de accu te verwijderen).
14-11-2024, 09:25 door Anoniem
Wel bizar dat trendmicro dit een 'new attack vector' noemt en dan doen ze alsof ze zelf allemaal bevonden hebben :)

"Trend Micro discovered that old Atlassian Confluence versions that were affected by CVE-2023-22527 are being exploited using a new in-memory fileless backdoor."

Terwijl dit voor 2021 al bekend was... En dan maar eigen product promoten die dit wel kan detecteren..
Hadden we maar een tiktok/insta cancel culture binnen cybersecurity
14-11-2024, 11:26 door Anoniem
Door Anoniem: Wel bizar dat trendmicro dit een 'new attack vector' noemt en dan doen ze alsof ze zelf allemaal bevonden hebben :)

"Trend Micro discovered that old Atlassian Confluence versions that were affected by CVE-2023-22527 are being exploited using a new in-memory fileless backdoor."

Terwijl dit voor 2021 al bekend was... En dan maar eigen product promoten die dit wel kan detecteren..
Hadden we maar een tiktok/insta cancel culture binnen cybersecurity
Was een CVE met 2023 als jaartal die pas in januari 2024 gepubliceerd werd voor 2021 al bekend? Of was er toen iets bekend waar dit je aan doet denken maar waar dit niet over gaat? Of mis ik iets dat je even aan me moet uitleggen?
14-11-2024, 14:36 door Anoniem
Door Anoniem: Eigenlijk weer een oude truc. Vroeger heette dat memory resident en de enige methode om de malware te verwijderen was het uitzetten van de client computer (en in het geval van een laptop de accu te verwijderen).
Gewoon process explorer met de VT functionaliteit aanzetten, dan zie je wel wat niet chocotoff is en kan de dat afschieten. Een in-memory proces is en blijft een proces, anders doet 't niet zoveel ;)
15-11-2024, 08:59 door Anoniem
Door Anoniem:
Door Anoniem: Wel bizar dat trendmicro dit een 'new attack vector' noemt en dan doen ze alsof ze zelf allemaal bevonden hebben :)

"Trend Micro discovered that old Atlassian Confluence versions that were affected by CVE-2023-22527 are being exploited using a new in-memory fileless backdoor."

Terwijl dit voor 2021 al bekend was... En dan maar eigen product promoten die dit wel kan detecteren..
Hadden we maar een tiktok/insta cancel culture binnen cybersecurity
Was een CVE met 2023 als jaartal die pas in januari 2024 gepubliceerd werd voor 2021 al bekend? Of was er toen iets bekend waar dit je aan doet denken maar waar dit niet over gaat? Of mis ik iets dat je even aan me moet uitleggen?

TrendMicro heeft het hier specifiek over "een nieuwe attack methode". Misbruik maken van een cve al is het recent, is geen nieuw aanval methode maar een oorzaak.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.