ESET повідомив про виявлення небезпечних розширень для серверного програмного забезпечення Internet Information Services (IIS)
Компанія ESET оголошує про виявлення небезпечних розширень для серверного програмного забезпечення інформаційних служб Інтернету (IIS)
Компанія ESET повідомляє про виявлення 10 раніше не записаних сімейств шкідливих програм, розроблених як небезпечні розширення серверного програмного забезпечення інформаційних служб Інтернету (IIS). Ці загрози здатні перехоплювати дані та втручатися в комунікації з серверами, націлюватися на урядові поштові скриньки та фінансові операції в Інтернеті.
Згідно з телеметрією ESET і результатами додаткових інтернет-сканувань, у 2021 році щонайменше 5 бекдорів були поширені через несанкціоноване використання поштових серверів Microsoft Exchange.
Серед постраждалих були державні установи Південно-Східної Азії і десятки компаній з різних галузей, розташованих в основному в Канаді, В'єтнамі та Індії, а також в США, Новій Зеландії, Південній Кореї та інших країнах.
Загрози такого роду використовуються для кібершпигунства, пошукової оптимізації (SEO) шахрайства та інших злочинних цілей. У всіх випадках основною метою кіберзлочинців є перехоплення HTTP-запитів, які надходять на скомпрометований сервер IIS і впливають на відповіді сервера.
"Сервери Інтернет-інформаційних служб були атаковані різними зловмисниками з метою кібершпигунства та іншої злочинної діяльності. Модульна архітектура програмного забезпечення, створена для розширення можливостей веб-розробників, може бути використана як інструмент для кіберзлочинців" , - говорить дослідник ESET.
Компанія ESET визначила 5 основних сценаріїв зловмисного програмного забезпечення, націлених на служби IIS:
- Бекдори дозволяють віддалено керувати скомпрометованим комп'ютером з встановленим програмним забезпеченням IIS.
- Програмне забезпечення для крадіжки дозволяє перехоплювати регулярний трафік між скомпрометованим сервером і законними відвідувачами, а також викрадати облікові дані для входу та платіжну інформацію.
- Інжектори змінюють відповіді HTTP, які надсилаються законним відвідувачам для розповсюдження шкідливого вмісту.
- Проксі-модулі перетворюють скомпрометований сервер в частину командно-контрольного сервера для іншого сімейства шкідливих програм.
- SEO-шахрайство, при якому шкідливе ПЗ модифікує контент пошукових систем для маніпулювання алгоритмами пошукової видачі і поліпшення рейтингу інших сайтів, які цікавлять зловмисників.
"Сервери IIS рідко встановлюють рішення безпеки, які дозволяють зловмисникам довгий час залишатися непоміченими. Це повинно викликати занепокоєння у авторитетних веб-порталів , які хочуть захистити дані своїх відвідувачів, включаючи інформацію про аутентифікаціюта та платіжні реквізити. Організації, які використовують Outlook, також повинні бути обережними, оскільки вони залежать від IIS і можуть стати новою мішенню для шпигунства ».
Щоб запобігти атакам шкідливих програм на служби IIS , дослідники ESET рекомендують:
- Використовуйте унікальні та надійні паролі, а також багатофакторну аутентифікацію для адміністрування серверів IIS.
- регулярно оновлювати операційну систему до останніх версій;
- Використовуйте брандмауер, а також рішення для захисту сервера.
- Регулярно перевіряйте конфігурацію сервера IIS, щоб переконатися, що всі встановлені розширення є законними.
