China Chopper es un shell web de aproximadamente 4 kilobytes de tamaño, descubierto por primera vez en 2012. Los actores chinos malintencionados suelen utilizar este shell web, incluidos los grupos de amenazas persistentes avanzadas (APT), para controlar de forma remota los servidores web . Este shell web tiene dos partes, la interfaz del cliente (un archivo ejecutable ) y el archivo de host del receptor en el servidor web comprometido.
China Chopper tiene muchos comandos y funciones de control, como una opción de ataque de fuerza bruta de contraseña , ofuscación de código , administración de archivos y bases de datos y una interfaz gráfica de usuario . [1] [2] [3] [4] Originalmente se distribuyó desde un sitio web www.maicaidao.com que ahora está inactivo. FireEye reveló que el cliente de este shell web está programado en Microsoft Visual C ++ 6.0
China Chopper se utilizó en ataques contra ocho proveedores de alojamiento web australianos que se vieron comprometidos debido al uso de un sistema operativo no compatible ( Windows Server 2008 ). Los piratas informáticos conectaron los servidores web a un grupo de minería de Monero , mediante el cual extrajeron aproximadamente 3868 AUD de Monero. [5]
En 2021, una versión de la cáscara web programado en JScript es utilizado por avanzada amenaza persistente grupo de hafnio para explotar cuatro de día cero vulnerabilidades en Microsoft Exchange Server , en la violación de datos 2021 de Microsoft Exchange Server . Este shell web se elimina cuando se explota la vulnerabilidad, lo que permite a los atacantes cargar un programa que se ejecuta con privilegios de administrador . [6] Con solo la dirección del archivo .aspx que contiene el script, una solicitud HTTP POSTse puede hacer en el script con solo un comando en la solicitud, lo que hace que el script ejecute el comando inmediatamente usando la función 'eval' de JScript, lo que permite a los atacantes ejecutar código arbitrario en el servidor. [7]