ASPXSpy Malware

De ASPXSpy Malware is een webshell geschreven in ASPX, zoals de naam suggereert, die door bedreigingsactoren wordt gebruikt als een backdoor-payload. Met het script kunnen de aanvallers controle krijgen over de gecompromitteerde Windows-server. Daarna kan ASPXSpy worden gebruikt om extra malware-payloads op het geïnfecteerde systeem op te halen, te installeren en uit te voeren. De payloads in de volgende fase kunnen variëren in functionaliteit en potentie, afhankelijk van de specifieke doelen van de bedreigingsacteur. Ze kunnen andere mid-stage dropper- of downloader-trojans omvatten, evenals keylogging-scripts die zijn ontworpen om de gebruikersinformatie te verkrijgen, zoals accountreferenties of bank- en debet- / creditcardgegevens. Backdoor-trojans zoals ASPXSpy kunnen ook specifieke poorten openen op het geschonden systeem, waardoor het mogelijk wordt blootgesteld aan verdere beveiligingsrisico's.

ASPXSpy wordt gezien als onderdeel van de schadelijke operaties van meerdere hackers en APT-groepen (Advanced Persistent Threat) die vaak hun eigen versies van de achterdeur creëren. Onder hen zijn Threat Group-3390, Night Dragon, APT41, APT39 en HAFNIUM. Een nieuw aangewezen ATP-groep genaamd Agrius, die naar verluidt banden heeft met Iran, is ook ontdekt om webshells te gebruiken op basis van ASPXSpy als onderdeel van een reeks aanvallen op Israëlische doelen.