Web Shell

Selon BleepingComputer, des hackers étatiques chinois sont restés plus d’un an indétectés dans un environnement cible en transformant un composant de l’outil de cartographie ArcGIS en web shell. 🕵️ Des hackers chinois exploitent ArcGIS pour rester cachés plus d’un an dans un réseau Des chercheurs de ReliaQuest ont découvert qu’un groupe de hackers soutenu par l’État chinois — probablement Flax Typhoon — est resté plus d’un an dans le réseau d’une organisation en transformant un composant du logiciel ArcGIS en porte dérobée web (web shell). ArcGIS, développé par Esri, est utilisé par les administrations, services publics et opérateurs d’infrastructures pour gérer et analyser des données géographiques. ...

Selon Truesec, cette seconde partie d’analyse examine en profondeur le web shell PHP « Shin », identifié lors d’une réponse à incident, et met en évidence ses fonctions de compromission avancées et ses techniques d’évasion. L’outil, attribué à un auteur indonésien, offre des capacités complètes de post‑exploitation : navigation du système de fichiers, exécution de commandes, manipulation/édition de fichiers, modification des permissions, téléversement de fichiers, et accès/gestion de bases de données via Adminer. Les paramètres sont URL‑encodés et peu obfusqués, laissant des traces dans les journaux du serveur. ...

Source: Microsoft Security Blog — Microsoft décrit l’intervention de son équipe DART pour contenir deux cyberattaques sophistiquées ciblant des organisations du secteur retail. Les assaillants ont exploité des vulnérabilités SharePoint (CVE-2025-49706, CVE-2025-49704) pour déposer des web shells ASPX, conduisant à de la spoofing d’identité et de l’injection de code à distance. L’objectif opérationnel incluait la prise de contrôle d’identités et la persistance dans l’environnement cible. ⚠️ Pour maintenir la présence malveillante, les acteurs ont utilisé Azure Virtual Desktop, RDP, PsExec et des outils de proxy/tunneling comme Teleport et Rsocx, signe d’un enchaînement TTPs visant mobilité latérale et évasion. 🧭 ...

L’article publié sur le site de Varonis décrit une chaîne d’exploit nommée ToolShell qui cible les serveurs SharePoint sur site. Cette attaque combine trois vulnérabilités (CVE-2025-49706, CVE-2025-53770, CVE-2025-49704) pour réaliser une exécution de code à distance sans authentification. Les versions de SharePoint 2016 et antérieures sont particulièrement vulnérables, bien que des correctifs soient disponibles pour les versions plus récentes. Le processus d’attaque implique l’envoi de requêtes HTTP spécialement conçues pour contourner l’authentification, l’utilisation d’une capacité d’écriture de fichier arbitraire pour déposer des web shells malveillants, et l’extraction de clés cryptographiques pour générer des charges utiles _VIEWSTATE valides. Ces charges utiles permettent des attaques de désérialisation conduisant à l’exécution de commandes PowerShell. ...