NGC3181: как закрепиться в базе данных, не привлекая внимания 💣 Процесс командной строки от модуля TrueConf Server? Давайте разбираться. Летом прошлого года при расследовании одного из инцидентов мы обнаружили бэкдор в базе данных TrueConf Server, который не был связан с какой либо уязвимостью программы. Началось все со странных запросов на аутентификацию и запуска консоли с помощью одного из модулей программы для ВКС. А закончилось ретроспективным анализом инфраструктуры заказчика. В новой статье вы узнаете: ☀️ как атакующие закрепились в базе данных TrueConf Server; ☀️ при чем здесь веб-шеллы и запросы на аутентификацию; ☀️ как долго можно сохранять доступ к инфраструктуре жертвы с таким способом закрепления. Выделенный нами кластер получил название NGC3181 и активен с 2024 года. Уже в нашем блоге.