Hacker brechen Regierungs- und Militärserver durch Ausnutzung von cPanel-Schwachstellen

Technischer Hintergrund

Für Befehls- und Kontrollzwecke setzte der Akteur eine AdaptixC2-Payload (ELF-Binärdatei mit dem Namen 1 ) ein, die konfiguriert war, an delicate-dew.serveftp[.]com:4455 zu beaconn, wobei die serverseitige Telemetrie die C2-Adresse bei 95.111.250[.]175 bestätigt.

C2 Server (Quelle:Ctrl-Alt-Intel) Auch eine PowerShell-Reverse-Shell (init.ps1) wurde wiederhergestellt, die eine TCP-Verbindung zurück zu derselben IP auf Port 4444 herstellte. Um einen dauerhaften, persistenten Zugriff zu gewährleisten, kombinierte der Akteur OpenVPN und Ligolo zu einem geschichteten Pivot-Stack.

Ein OpenVPN-Server wurde am 8. April 2026 auf 95.111.250[.]175:1194/UDP bereitgestellt und leitete über das Client-Subnetz 10.8.0.0/24.

Einordnung fuer Autofahrer

Der Ligolo-Proxy-Agent wurde in einem versteckten Verzeichnis /usr/local/bin/.netmon/ installiert, als systemd-Service namens systemd-update.service getarnt und so konfiguriert, dass er automatisch neu startet – was eine persistente Wiedereintrittsmöglichkeit auch nach Neustarts gewährleistete.

Über diese Pivot-Infrastruktur erreichte der Akteur einen internen Host unter 10.16.13.88 und setzte exfil_docs_v2.sh, ein benutzerdefiniertes SFTP-basiertes Exfiltrationsskript, ein.

Datenexfiltration (Quelle:Ctrl-Alt-Intel) Insgesamt wurden 110 Dateien (~4,37 GB) Electrification Committee entwendet, die die Formate.pptx,.pdf,.docx und.xlsx umfassen und aus dem Zeitraum 2020 bis 2024 stammen.

Technik, Energie und Einsatz

Zu den sensibelsten Materialien gehörten Finanzarbeitsbücher aus dem Jahr 2021, die vollständige Namen, PRC-nationale ID-Nummern, Bankkontodaten und Telefonnummern enthielten.

Ctrl-Alt-Intel kommt nicht zu einer festen Zuordnung, obwohl die Opferstudie deutet, dass die Ziele der südostasiatischen Militär- und Regierungsstellen zusammen mit dem Diebstahl Transportsektors auf eine vorsätzliche regionale Geheimdienstsammlung hindeuten. Die Shadowserver Foundation bestätigte am 30.

April 2026, dass 44.000 eindeutige IP-Adressen beobachtet wurden, die nach Opfern scannten, Exploits starteten oder Brute-Force-Angriffe gegen ihre Honeypot-Sensoren durchführten.

Sicherheitslage und Risiko

Organisationen, die cPanel/WHM betreiben, werden dringend aufgefordert, unverzüglich auf die neueste Version zu patchen und die Serverprotokolle auf Anzeichen überprüfen.

Indicators of Compromise (IoCs) Indikator-Typ Kontext 95.111.250[.]175 IP-Adresse Primärer Angreifer-VPS; OpenVPN, reverse shell und Pivot-Infrastruktur delicate-dew.serveftp[.]com Domain Domain, das mit derselben Infrastruktur verbunden ist; vorhanden in wiederhergestelltem Zertifikatmaterial systemd-update.service Dateiname Tarnendes Linux-Persistenzdienstprogramm /usr/local/bin/.netmon/systemd-helper Dateipfad Versteckter Linux-Reverse-Connect-Payload-Pfad init.ps1 Dateiname PowerShell-Reverse-Shell-Payload 64674342041873DBB18B1DD9BB1CA391AF85B5E755DEFFB4C1612EF668349325 SHA-256 Hash ps1 exploit_siak_bahasa.py Dateiname Benutzerdefiniertes authentifiziertes SQLi → PostgreSQL RCE-Exploit 974E272AD1DC7D5AADC3C7A48EC00EB201D04BA59EC5B0B17C2F8E9CD2F9C9CD SHA-256 Hash von exploit_siak_bahasa.py exfil_docs_v2.sh Dateiname Benutzerdefiniertes SFTP lftp-Dokumentenexfiltrationsskript 734F0D04DC2683E19E629B8EC7F55349B5BCFF4EB4F2F36F6ADBBDE1C023A24F SHA-256 Hash von exfil_docs_v2.sh 1 Dateiname Linux ELF reverse-connect Pivot-Payload, zusammen mit der benutzerdefinierten Exploit-Kette wiederhergestellt 1CFEADF01D24182362887B7C5F683E8BDB0E84CDDCE03E3B7564B2D9AB5D15CF SHA-256 Hash des ELF-Payloads 1 Hinweis: IP-Adressen und Domains sind absichtlich entgiftet (z.

B. [.] ), um versehentliche Auflösung oder Hyperlinking zu verhindern. Re-fang nur innerhalb kontrollierter Threat-Intelligence-Plattformen wie MISP, VirusTotal oder Ihrem SIEM.

Der Beitrag Hackers Breach Government and Military Servers zuerst auf