Logiciel malveillant ASPXSpy

Le logiciel malveillant ASPXSpy est un shell Web écrit en ASPX, comme son nom l'indique, qui est utilisé par les acteurs de la menace comme charge utile de porte dérobée. Le script permet aux attaquants de prendre le contrôle du serveur Windows compromis. Ensuite, ASPXSpy peut être utilisé pour récupérer, installer et exécuter des charges utiles de logiciels malveillants supplémentaires sur le système infecté. Les charges utiles de la prochaine étape peuvent varier en fonctionnalités et en puissance, en fonction des objectifs spécifiques de l'acteur de la menace. Ils peuvent inclure d'autres chevaux de Troie compte-gouttes ou téléchargeurs à mi-parcours, ainsi que des scripts d'enregistrement de frappe conçus pour obtenir les informations de l'utilisateur telles que les informations d'identification du compte ou les détails de la carte bancaire et de débit / crédit. Les chevaux de Troie de porte dérobée tels que ASPXSpy peuvent également ouvrir des ports spécifiques sur le système violé, l'exposant potentiellement à d'autres risques de sécurité.

ASPXSpy a été considéré comme faisant partie des opérations nuisibles de plusieurs pirates et groupes APT (Advanced Persistent Threat) qui créent souvent leurs propres versions de la porte dérobée. Parmi eux se trouvent Threat Group-3390, Night Dragon, APT41, APT39 et HAFNIUM. Un groupe ATP nouvellement désigné nommé Agrius qui aurait des liens avec l'Iran a également été détecté comme utilisant des web shells basés sur ASPXSpy dans le cadre d'une série d'attaques contre des cibles israéliennes.