ASPXSpy Malware

ASPXSpy Malware er en web-shell skrevet i ASPX, som navnet antyder, der bruges af trusselaktører som en bagdør nyttelast. Scriptet giver angriberne mulighed for at få kontrol over den kompromitterede Windows-server. Bagefter kan ASPXSpy bruges til at hente, installere og udføre yderligere malware-nyttelast på det inficerede system. Den næste fase nyttelast kan variere i funktionalitet og styrke afhængigt af trusselsaktørens specifikke mål. De kan omfatte andre mid-stage dropper- eller downloader-trojanske heste samt keylogging-scripts designet til at indhente brugerens oplysninger såsom kontooplysninger eller bank- og betalingskortoplysninger. Bagdørstrojans som ASPXSpy kan også åbne specifikke porte på det brudte system og potentielt udsætte det for yderligere sikkerhedsrisici.

ASPXSpy er blevet set som en del af de skadelige operationer hos flere hackere og APT-grupper (Advanced Persistent Threat), der ofte opretter deres egne versioner af bagdøren. Blandt dem er Threat Group-3390, Night Dragon, APT41, APT39 og HAFNIUM. En nyudpeget ATP-gruppe ved navn Agrius, der menes at have bånd til Iran, er også blevet opdaget til at bruge webskaller baseret på ASPXSpy som en del af en række angreb mod israelske mål.