Небезпечні трояни атакують сервери IIS

Небезпечні трояни атакують сервери IIS

Компанія ESET виявлила 10 раніше незафіксованих сімейств шкідливих програм, розроблених як небезпечні розширення для серверного програмного забезпечення Internet Information Services (IIS). Ці загрози здатні перехоплювати дані та втручатися в комунікації сервера, націлюючись на поштові скриньки урядових установ та фінансові онлайн-транзакції.

Відповідно до даних телеметрії ESET та результатів додаткових Інтернет-сканувань, у 2021 році щонайменше 5 бекдорів поширювалися за допомогою несанкціонованого використання поштових серверів Microsoft Exchange.

Серед жертв опинилися урядові установи Південно-Східної Азії та десятки компаній з різних галузей, розташовані переважно в Канаді, В’єтнамі та Індії, а також в США, Новій Зеландії, Південній Кореї та інших країнах. Крім цього, цілями одного з бекдорів стала невелика кількість серверів IIS в Україні.

Загрози цього виду використовуються для кібершпигунства, шахрайства з пошуковою оптимізацією (SEO) та інших злочинних цілей. У всіх випадках основна мета кіберлочинців ― перехопити HTTP-запити, які надходять на скомпрометований сервер IIS, та вплинути на відповіді сервера.

«Сервери Internet Information Services були атаковані різними зловмисниками з ціллю кібершпигунства та іншої злочинної діяльності. Модульна архітектура програмного забезпечення, створена для розширення можливостей веброзробників, може використовуватися як інструмент кіберзлочинців», ― коментує Зузана Хромцова, дослідниця компанії ESET.

Спеціалісти ESET визначили 5 основних сценаріїв роботи шкідливих програм, націлених на IIS:

  • Бекдори дозволяють дистанційно управляти скомпрометованим комп’ютером зі встановленим програмним забезпеченням IIS.
  • Програми для викрадення дозволяють перехоплювати регулярний трафік між скомпрометованим сервером та легітимними відвідувачами, а також викрадати облікові дані для входу та платіжну інформацію.
  • Інжектори змінюють HTTP-відповіді, які відправляються легітимним відвідувачам, для поширення шкідливого вмісту.
  • Проксі-модулі перетворюють скомпрометований сервер у частину командного сервера для іншого сімейства шкідливих програм.
  • SEO-шахрайство, під час якого шкідливі програми змінюють контент пошукових систем для маніпулювання алгоритмами пошукової видачі та підвищення рейтингу інших сайтів, у яких зацікавлені зловмисники.
Механізми поширення шкідливого програмного забезпечення, націленого на сервери IIS

На серверах IIS рідко встановлюються рішення з безпеки, пояснють в ESET, і це дозволяє зловмисникам залишатися непоміченими протягом тривалого часу. Це має викликати занепокоєння у авторитетних вебпорталів, які хочуть захистити дані своїх відвідувачів, включно з інформацією про аутентифікацію та платіжні дані. Організації, які використовують Outlook, також повинні бути обережними, оскільки вони залежать від IIS та можуть стати новою ціллю для шпигунства.

Leave a Reply

Your email address will not be published. Required fields are marked *

Сплатити 1 грн 1 UAH