Кіберзлочинці експлуатують уразливість в Internet Information Services (IIS) 6.0 для злому серверів під керуванням Windows та установки ПЗ для майнінгу криптовалюти Electroneum. Атаки не є поширеними, оскільки націлені на застарілі версії IIS, проте їх масштаби досить вражаючі.

Під час атак зловмисники експлуатують уразливість (CVE–2017–7269) у сервісі IIS WebDAV, виявлену в березні минулого року двома китайськими дослідниками безпеки. На момент виявлення вразливість вже активно експлуатувалася хакерами майже дев'ять місяців.

Спершу Microsoft не планувала випускати виправлення, оскільки на той час термін підтримки версії IIS 6.0 і ОС, що поставляються з нею (Windows XP і Windows Server 2003) вже минув. Тим не менш, вразливість мала спільні риси з експлоїтом EXPLODINGCAN Агентства національної безпеки США, що втік, і в середині червня 2017 року виробник все-таки випустив патч. З того часу вона експлуатувалася як мінімум одним хакерським угрупуванням для встановлення на сервери під керуванням Windows майнерів криптовалюти Monero.

Як повідомляють дослідники з F5 Labs, ще одне хакерське угруповання використовує ту ж вразливість, але замість програмного забезпечення для видобутку Monero встановлює на сервери IIS 6.0 майнери Electroneum. Через уразливість зловмисники встановлюють шелл-код ASCII, що містить експлоїти, що базуються на зворотно-орієнтованому програмуванні. Ці експлоїти встановлюють на вразливий хост реверсивний шелл, який завантажує майнер і запускає процес майнінгу.

Для маскування атаки хакери використовують техніку Squiblydoo, що передбачає приховування шкідливих операцій за допомогою легітимних додатків ОС. Крім того, сам майнер маскується під легітимний процес lsass.exe.

Наразі у виявленому дослідниками криптовалютному гаманці хакерів знаходиться лише $99. Це може свідчити або про те, що шкідлива кампанія тільки почалася, або про те, що з метою заміщення своїх слідів кіберзлочинці здійснюють ротацію адреси.

IIS – пропрієтарний набір серверів для низки служб інтернету від компанії Microsoft. IIS розповсюджується з операційними системами сімейства Windows NT.

Electroneum – нова криптовалюта, призначена для майнінгу через мобільний додаток.