Het Amerikaanse ministerie van Volksgezondheid heeft ziekenhuizen en andere medische instellingen gewaarschuwd voor de 'Godzilla webshell' die bij aanvallen wordt ingezet en lastig te detecteren is (pdf). Een webshell is een programma dat aanvallers op een gecompromitteerde server plaatsen om zo toegang tot de server te behouden en verdere aanvallen te kunnen uitvoeren.

De Godzilla webshell is 'filesless' en wordt in het geheugen van een gecompromitteerde server geladen. Eind augustus kwam antivirusbedrijf Trend Micro met een analyse waarin het de webshell een 'in-memory fileless backdoor' noemde. Het feit dat de webshell fileless is maakt het lastig te detecteren, aldus de virusbestrijder. Door alleen in het geheugen actief te blijven kan de malware schijfgebaseerde detectiemechanismes omzeilen.

Daarnaast gebruikt de webshell AES-encryptie voor de communicatie, wat detectie verder kan bemoeilijken. Bij recente aanvallen waarbij Godzilla werd gebruikt, maakten de aanvallers gebruik van CVE-2023-22527. Een bekende kwetsbaarheid in Atlassian Confluence Data Center and Server waardoor een ongeauthenticeerde aanvaller op afstand code op de kwetsbare server kan uitvoeren. De impact van het beveiligingslek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Aanvallers maken echter ook gebruik van andere kwetsbaarheden, waaronder één in Zoho ManageEngine ADSelfService Plus.

"Vanwege de grote functionaliteit en continue ontwikkeling van Godzilla is het niet praktisch om een lijst op te stellen van van verdedigings- en mitigatiestappen die over een lange periode genomen moeten worden", aldus het Office of Information Security van het Amerikaanse ministerie van Volksgezondheid. Dat wijst naar een rapport van het Amerikaanse cyberagentschap CISA over de Godzilla webshell en maatregelen die in het algemeen tegen webshells genomen kunnen worden.