Взломанные сайты подталкивают TeamViewer с помощью оповещения о поддельном сертификате с истекшим сроком действия

30
Microsoft исправляет обход TPM Surface Pro 3 с помощью общедоступного кода эксплойта

Злоумышленники взламывают серверы Windows IIS, чтобы добавить страницы с уведомлением об истекшем сертификате, предлагающие посетителям загрузить вредоносный поддельный установщик.

Информационные службы Интернета (IIS) — это программное обеспечение веб-сервера Microsoft Windows, включенное во все версии Windows, начиная с Windows 2000, XP и Server 2003.

Сообщение, отображаемое на страницах с ошибками истечения срока действия злонамеренного сертификата, гласит: «Обнаружена потенциальная угроза безопасности, и переход на [имя сайта] не продлен. Обновление сертификата безопасности может позволить установить это соединение.

Как отметили исследователи безопасности Malwarebytes Threat Intelligence, вредоносная программа была установлена ​​с помощью поддельного установщика обновлений [VirusTotal], подписанного сертификатом Digicert.

Полезная нагрузка, сбрасываемая на зараженные системы, — это TVRAT (также известная как TVSPY, TeamSpy, TeamViewerENT или Team Viewer RAT), вредоносная программа, предназначенная для предоставления операторам полного удаленного доступа к зараженным узлам.

После развертывания на зараженном устройстве вредоносная программа автоматически установит и запустит экземпляр программы удаленного управления TeamViewer.

После запуска сервер TeamViewer свяжется с сервером управления и контроля (C2), чтобы злоумышленники знали, что они могут удаленно получить полный контроль над только что взломанным компьютером.

TVRAT впервые появился в 2013 году, когда он был доставлен через спам-кампании в виде вредоносных вложений, которые обманом заставляли цели активировать макросы Office.

Серверы IIS: уязвимые и целевые

Хотя метод, используемый злоумышленниками для взлома серверов IIS, еще не известен, злоумышленники могут использовать различные способы взлома сервера Windows IIS.

Например, код эксплойта, нацеленный на критическую уязвимость червя, обнаруженную в стеке протоколов HTTP (HTTP.sys), используемом веб-сервером Windows IIS, стал общедоступным с мая.

Microsoft исправила брешь в системе безопасности (отслеживаемая как CVE-2021-31166) во вторник в мае и заявила, что она влияет только на Windows 10 версий 2004 / 20H2 и Windows Server версий 2004 / 20H2.

С тех пор не было никаких злонамеренных действий, злоупотребляющих этой уязвимостью, и, как мы сообщали в то время, большинство потенциальных целей, вероятно, были защищены от атак, учитывая, что домашние пользователи с последними версиями Windows 10 обновились бы, а компании не Обычно не использую последние версии Windows Server.

Однако в прошлом злоумышленники, спонсируемые государством, также использовали различные другие эксплойты для компрометации серверов IIS, подключенных к Интернету.

Самый последний пример — группа расширенных постоянных угроз (APT), отслеживаемая как Praying Mantis или TG1021, которая нацелена на веб-серверы Microsoft IIS, согласно августовскому отчету израильской компании безопасности Sygnia.

В своих атаках Praying Mantis использовал эксплойт Checkbox Survey RCE (CVE-2021-27852), эксплойты незащищенной десериализации VIEWSTATE и альтернативную сериализацию, а также эксплойт Telerik-UI (CVE-2019-18935, CVE-2017-11317).

«Операторы, стоящие за этой деятельностью, нацелены на серверы Windows с выходом в Интернет, используя в основном атаки десериализации, чтобы загрузить полностью нестабильную специализированную вредоносную платформу, адаптированную для среды Windows IIS», — заявили исследователи.

Затем субъекты Praying Mantis использовали доступ к взломанным серверам IIS, предоставленный для выполнения дополнительных вредоносных задач, включая сбор учетных данных, разведку и горизонтальное перемещение в сетях своих целей.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here