Hơn 4.000 backdoors web đã bị chiếm quyền khi các nhà nghiên cứu đăng ký expired domains từng được sử dụng để điều khiển chúng. Những backdoors này được triển khai trên các máy chủ web của các mục tiêu quan trọng, bao gồm các hệ thống chính phủ và trường đại học.
Cùng với The Shadowserver Foundation, WatchTowr Labs đã ngăn chặn các domains này rơi vào tay kẻ tấn công độc hại. Các nhà nghiên cứu đã phát hiện hơn 4.000 hệ thống bị xâm nhập khi chúng cố gắng “phone home.”
Các nhà nghiên cứu đã phát hiện nhiều loại backdoor, bao gồm r57shell, c99shell và ‘China Chopper’. Họ tìm thấy các hệ thống bị nhiễm trong cơ sở hạ tầng chính phủ Trung Quốc, hệ thống tư pháp của chính phủ Nigeria, mạng lưới chính phủ Bangladesh và các trường học ở Thái Lan, Trung Quốc và Hàn Quốc. Một backdoor thậm chí có hành vi liên quan đến nhóm Lazarus.
WatchTowr đã chuyển giao quyền kiểm soát các domains bị chiếm quyền cho The Shadowserver Foundation để ngăn chúng bị chiếm lại. Nghiên cứu này cho thấy expired domains từ các hoạt động malware vẫn có thể bị lợi dụng bởi những tội phạm mạng mới.
