Hacker brechen Regierungs- und Militärserver durch Ausnutzung von cPanel-Schwachstellen

April 2026 in freier Wildbahn bestätigt, und CISA fügte ihn anschließend seinem Katalog der bekannten ausgenutzten Schwachstellen hinzu.

In dieser Kampagne stellte die Ausnutzung breiteren und alarmierenderen Operation dar, die (C2)-Server aufgedeckt wurde. cPanel-Schwachstelle ausgenutzt Deutlich wichtiger ist, dass Ctrl-Alt-Intel einen benutzerdefinierten Exploit aufgedeckt hat, der ein Trainingsportal des indonesischen Verteidigungssektors ins Visier nahm.

Der Bedrohungsakteur besaß bereits gültige Anmeldeinformationen und umging den CAPTCHA-Mechanismus des Portals, indem er den erwarteten CAPTCHA-Wert direkt aus dem vom Server ausgestellten Sitzungscookie auslas, wodurch die Herausforderung ohne Lösung völlig unwirksam wurde.

Im Inneren zielte der Akteur auf

Im Inneren zielte der Akteur auf eine Dokumentenverwaltungsfunktion ab und injizierte SQL in das Feld des Dokumentennamens über einen anfälligen Speichern-Endpunkt. Die SQL-Injection wurde dann durch die Missbrauch der PostgreSQL-Funktionalität COPY ...

TO PROGRAM eskaliert, welche es dem Datenbankserver ermöglicht, beliebige Shell-Befehle zu starten. Die Ausgabe des Befehls wurde nach /tmp erfasst, base64-kodiert und mithilfe von pg_read_file() in die Anwendungsdatensätze re-ingested – ein unauffälliger, auf Datei-Lesen basierender Exfiltrationskanal, der vollständig in der Datenbankebene nativ ist.

Das Exploit-Skript mit dem Namen exploit_siak_bahasa.py (SHA-256: 974E272A... ) enthielt vietnamesische Kommentare, obwohl Ctrl-Alt-Intel ausdrücklich warnt, dass dies für die Zuordnung unzureichend ist und eine vorsätzliche Irreführung darstellen könnte.

Für Befehls- und Kontrollzwecke setzte der

Für Befehls- und Kontrollzwecke setzte der Akteur eine AdaptixC2-Payload (ELF-Binärdatei mit dem Namen 1 ) ein, die konfiguriert war, an delicate-dew.serveftp[.]com:4455 zu beaconn, wobei die serverseitige Telemetrie die C2-Adresse bei 95.111.250[.]175 bestätigt.

C2 Server (Quelle:Ctrl-Alt-Intel) Auch eine PowerShell-Reverse-Shell (init.ps1) wurde wiederhergestellt, die eine TCP-Verbindung zurück zu derselben IP auf Port 4444 herstellte. Um einen dauerhaften, persistenten Zugriff zu gewährleisten, kombinierte der Akteur OpenVPN und Ligolo zu einem geschichteten Pivot-Stack.

Ein OpenVPN-Server wurde am 8. April 2026 auf 95.111.250[.]175:1194/UDP bereitgestellt und leitete über das Client-Subnetz 10.8.0.0/24.

Der Ligolo-Proxy-Agent wurde in einem versteckten

Der Ligolo-Proxy-Agent wurde in einem versteckten Verzeichnis /usr/local/bin/.netmon/ installiert, als systemd-Service namens systemd-update.service getarnt und so konfiguriert, dass er automatisch neu startet – was eine persistente Wiedereintrittsmöglichkeit auch nach Neustarts gewährleistete.

Über diese Pivot-Infrastruktur erreichte der Akteur einen internen Host unter 10.16.13.88 und setzte exfil_docs_v2.sh, ein benutzerdefiniertes SFTP-basiertes Exfiltrationsskript, ein.

Datenexfiltration (Quelle:Ctrl-Alt-Intel) Insgesamt wurden 110 Dateien (~4,37 GB) Committee entwendet, die die Formate .pptx, .pdf, .docx und .xlsx umfassen und aus dem Zeitraum 2020 bis 2024 stammen.

Zu den sensibelsten Materialien gehörten Finanzarbeitsbücher

Zu den sensibelsten Materialien gehörten Finanzarbeitsbücher aus dem Jahr 2021, die vollständige Namen, PRC-nationale ID-Nummern, Bankkontodaten und Telefonnummern enthielten.

Ctrl-Alt-Intel kommt nicht zu einer festen Zuordnung, obwohl die Opferstudie deutet, dass die Ziele der südostasiatischen Militär- und Regierungsstellen zusammen mit dem Diebstahl auf eine vorsätzliche regionale Geheimdienstsammlung hindeuten. Die Shadowserver Foundation bestätigte am 30.

April 2026, dass 44.000 eindeutige IP-Adressen beobachtet wurden, die nach Opfern scannten, Exploits starteten oder Brute-Force-Angriffe gegen ihre Honeypot-Sensoren durchführten.

Organisationen, die cPanel/WHM betreiben, werden dringend

Organisationen, die cPanel/WHM betreiben, werden dringend aufgefordert, unverzüglich auf die neueste Version zu patchen und die Serverprotokolle auf Anzeichen überprüfen.

Indicators of Compromise (IoCs) Indikator-Typ Kontext 95.111.250[.]175 IP-Adresse Primärer Angreifer-VPS; OpenVPN, reverse shell und Pivot-Infrastruktur delicate-dew.serveftp[.]com Domain Domain, das mit derselben Infrastruktur verbunden ist; vorhanden in wiederhergestelltem Zertifikatmaterial systemd-update.service Dateiname Tarnendes Linux-Persistenzdienstprogramm /usr/local/bin/.netmon/systemd-helper Dateipfad Versteckter Linux-Reverse-Connect-Payload-Pfad init.ps1 Dateiname PowerShell-Reverse-Shell-Payload 64674342041873DBB18B1DD9BB1CA391AF85B5E755DEFFB4C1612EF668349325 SHA-256 Hash ps1 exploit_siak_bahasa.py Dateiname Benutzerdefiniertes authentifiziertes SQLi → PostgreSQL RCE-Exploit 974E272AD1DC7D5AADC3C7A48EC00EB201D04BA59EC5B0B17C2F8E9CD2F9C9CD SHA-256 Hash von exploit_siak_bahasa.py exfil_docs_v2.sh Dateiname Benutzerdefiniertes SFTP lftp-Dokumentenexfiltrationsskript 734F0D04DC2683E19E629B8EC7F55349B5BCFF4EB4F2F36F6ADBBDE1C023A24F SHA-256 Hash von exfil_docs_v2.sh 1 Dateiname Linux ELF reverse-connect Pivot-Payload, zusammen mit der benutzerdefinierten Exploit-Kette wiederhergestellt 1CFEADF01D24182362887B7C5F683E8BDB0E84CDDCE03E3B7564B2D9AB5D15CF SHA-256 Hash des ELF-Payloads 1 Hinweis: IP-Adressen und Domains sind absichtlich entgiftet (z.

B. [.] ), um versehentliche Auflösung oder Hyperlinking zu verhindern. Re-fang nur innerhalb kontrollierter Threat-Intelligence-Plattformen wie MISP, VirusTotal oder Ihrem SIEM.

Sie uns auf

Sie uns auf

Der Beitrag Hackers Breach Government and Military Servers auf Cyber Security News.