Selon Howler Cell Research Team, une enquête a mis au jour une chaîne multi‑infection liée à un botnet, au centre de laquelle un étudiant bangladais vend l’accès à des sites compromis (surtout WordPress et cPanel) à des acheteurs principalement basés en Asie, via Telegram et paiements en cryptomonnaie.

Principaux constats 🔎

  • Webshell PHP ‘Beima’: totalement indétecté par des outils modernes, y compris VirusTotal (depuis mai 2024).
  • Marché: plus de 5 200 sites compromis listés à la vente sur Telegram; .EDU/.GOV ~200 $ contre 3–4 $ pour d’autres sites; 76% des cibles seraient gouvernement/éducation.
  • Origine/acheteurs: vendeur étudiant au Bangladesh; acheteurs surtout Chine, Indonésie, Malaisie; focus pays: Inde, Indonésie (aussi Brésil, Thaïlande, États‑Unis).
  • Accès initial: mauvaise configuration WordPress et cPanel; diffusion via un panneau de botnet.

Détails techniques du webshell 🐚

  • Commande et contrôle: requêtes HTTP chiffrées (paramètre d’en‑tête P en base64) déchiffrées via clé privée RSA embarquée; réponses JSON.
  • Capacités: exécution de code à distance, persistance, exfiltration, manipulation/renommage de fichiers, injection dans index.php, écriture de .htaccess, récupération de charges depuis un C2.
  • Evasion: écriture dans un répertoire aléatoire (jusqu’à 6 niveaux sous le document root), antidatage des timestamps (6–12 mois), SSL désactivé sur cURL.
  • Conventions: webshell souvent nommé style.php; codes d’erreur JSON par défaut (ex. {"code":200400,"msg":"param is empty"}); dispatch par identifiants d’action (beima, rename, index, sub/htaccess, lock, style).

TTPs (MITRE ATT&CK) 🧰

  • Initial Access: exploitation/mauvaise configuration de WordPress/cPanel.
  • Persistence: dépôt de webshell, injection d’index, création de .htaccess, modification d’horodatages.
  • Command and Control: chiffrement RSA des commandes via en‑tête HTTP, JSON de contrôle, récupération de payloads depuis C2.
  • Defense Evasion: répertoires aléatoires, timestamps falsifiés, indétecté sur VirusTotal.
  • Exfiltration/Impact: scripts d’énumération pour extraction de données; intégration à un botnet.

IOCs et artefacts 🧪

  • Noms/artefacts: webshell Beima, fichier style.php, paramètres P (en‑tête), iden (actions), message d’erreur JSON code=200400.
  • Secteurs ciblés: Gouvernement et Éducation (≈76%).
  • Plateformes: WordPress, cPanel; canaux: Telegram; paiements: BTC.
  • Aucun domaine/IP/hash fourni dans le rapport.

Conclusion: Il s’agit d’une analyse de menace documentant une opération de vente d’accès à des sites compromis et la technique d’un webshell PHP chiffré resté indétecté.

🧠 TTPs et IOCs détectés

TTP

[‘Initial Access: Exploitation/mauvaise configuration de WordPress/cPanel’, ‘Persistence: Dépôt de webshell, injection d’index, création de .htaccess, modification d’horodatages’, ‘Command and Control: Chiffrement RSA des commandes via en‑tête HTTP, JSON de contrôle, récupération de payloads depuis C2’, ‘Defense Evasion: Répertoires aléatoires, timestamps falsifiés, indétecté sur VirusTotal’, ‘Exfiltration/Impact: Scripts d’énumération pour extraction de données; intégration à un botnet’]

IOC

[‘Noms/artefacts: webshell Beima, fichier style.php’, ‘Paramètres: P (en‑tête), iden (actions)’, ‘Message d’erreur JSON: code=200400’]

🔗 Source originale : https://www.cyderes.com/howler-cell/webshell-underground-student-hacker-selling-php-backdoors-to-threat-actors