Злоумышленники взламывают серверы Windows IIS, чтобы добавить страницы с уведомлением об истекшем сертификате, предлагающие посетителям загрузить вредоносный поддельный установщик.
Информационные службы Интернета (IIS) — это программное обеспечение веб-сервера Microsoft Windows, включенное во все версии Windows, начиная с Windows 2000, XP и Server 2003.
Сообщение, отображаемое на страницах с ошибками истечения срока действия злонамеренного сертификата, гласит: «Обнаружена потенциальная угроза безопасности, и переход на [имя сайта] не продлен. Обновление сертификата безопасности может позволить установить это соединение.
Как отметили исследователи безопасности Malwarebytes Threat Intelligence, вредоносная программа была установлена с помощью поддельного установщика обновлений [VirusTotal], подписанного сертификатом Digicert.
Полезная нагрузка, сбрасываемая на зараженные системы, — это TVRAT (также известная как TVSPY, TeamSpy, TeamViewerENT или Team Viewer RAT), вредоносная программа, предназначенная для предоставления операторам полного удаленного доступа к зараженным узлам.
После развертывания на зараженном устройстве вредоносная программа автоматически установит и запустит экземпляр программы удаленного управления TeamViewer.
После запуска сервер TeamViewer свяжется с сервером управления и контроля (C2), чтобы злоумышленники знали, что они могут удаленно получить полный контроль над только что взломанным компьютером.
TVRAT впервые появился в 2013 году, когда он был доставлен через спам-кампании в виде вредоносных вложений, которые обманом заставляли цели активировать макросы Office.
Серверы IIS: уязвимые и целевые
Хотя метод, используемый злоумышленниками для взлома серверов IIS, еще не известен, злоумышленники могут использовать различные способы взлома сервера Windows IIS.
Например, код эксплойта, нацеленный на критическую уязвимость червя, обнаруженную в стеке протоколов HTTP (HTTP.sys), используемом веб-сервером Windows IIS, стал общедоступным с мая.
Microsoft исправила брешь в системе безопасности (отслеживаемая как CVE-2021-31166) во вторник в мае и заявила, что она влияет только на Windows 10 версий 2004 / 20H2 и Windows Server версий 2004 / 20H2.
С тех пор не было никаких злонамеренных действий, злоупотребляющих этой уязвимостью, и, как мы сообщали в то время, большинство потенциальных целей, вероятно, были защищены от атак, учитывая, что домашние пользователи с последними версиями Windows 10 обновились бы, а компании не Обычно не использую последние версии Windows Server.
Однако в прошлом злоумышленники, спонсируемые государством, также использовали различные другие эксплойты для компрометации серверов IIS, подключенных к Интернету.
Самый последний пример — группа расширенных постоянных угроз (APT), отслеживаемая как Praying Mantis или TG1021, которая нацелена на веб-серверы Microsoft IIS, согласно августовскому отчету израильской компании безопасности Sygnia.
В своих атаках Praying Mantis использовал эксплойт Checkbox Survey RCE (CVE-2021-27852), эксплойты незащищенной десериализации VIEWSTATE и альтернативную сериализацию, а также эксплойт Telerik-UI (CVE-2019-18935, CVE-2017-11317).
«Операторы, стоящие за этой деятельностью, нацелены на серверы Windows с выходом в Интернет, используя в основном атаки десериализации, чтобы загрузить полностью нестабильную специализированную вредоносную платформу, адаптированную для среды Windows IIS», — заявили исследователи.
Затем субъекты Praying Mantis использовали доступ к взломанным серверам IIS, предоставленный для выполнения дополнительных вредоносных задач, включая сбор учетных данных, разведку и горизонтальное перемещение в сетях своих целей.
Последнее обновление 05.01.2023
