ASPXSpy Malware

Die ASPXSpy-Malware ist eine in ASPX geschriebene Web-Shell, die, wie der Name schon sagt, von Bedrohungsakteuren als Backdoor-Nutzlast verwendet wird. Das Skript ermöglicht es den Angreifern, die Kontrolle über den gefährdeten Windows-Server zu erlangen. Anschließend kann ASPXSpy verwendet werden, um zusätzliche Malware-Nutzdaten auf dem infizierten System abzurufen, zu installieren und auszuführen. Die Nutzdaten der nächsten Stufe können je nach den spezifischen Zielen des Bedrohungsakteurs in Funktionalität und Wirksamkeit variieren. Sie können andere Dropper- oder Downloader-Trojaner in der Mitte der Phase sowie Keylogging-Skripte enthalten, mit denen Benutzerinformationen wie Kontoanmeldeinformationen oder Bank- und Debit- / Kreditkartendaten abgerufen werden können. Backdoor-Trojaner wie ASPXSpy können auch bestimmte Ports des beschädigten Systems öffnen und es möglicherweise weiteren Sicherheitsrisiken aussetzen.

ASPXSpy wurde als Teil der schädlichen Operationen mehrerer Hacker und APT-Gruppen (Advanced Persistent Threat) angesehen, die häufig ihre eigenen Versionen der Hintertür erstellen. Unter ihnen sind Threat Group-3390, Night Dragon, APT41, APT39 und HAFNIUM. Es wurde auch festgestellt, dass eine neu benannte ATP-Gruppe namens Agrius, von der angenommen wird, dass sie Verbindungen zum Iran hat, im Rahmen einer Reihe von Angriffen gegen israelische Ziele auf ASPXSpy basierende Web-Shells verwendet.