Malwarebytes Threat Intelligence виявила Windows IIS з підробленими повідомленнями про минулий термін дії сертифіката
Malwarebytes Threat Intelligence виявляє Windows IIS з підробленими сповіщеннями про термін дії сертифіката
Зловмисники зламують сервери інформаційних служб Інтернету (IIS) Windows і вбудовують сторінки сповіщень про сертифікат, термін дії яких закінчився, які пропонують встановити програмне забезпечення, яке насправді є інсталятором зловмисного програмного забезпечення. Зловмисне програмне забезпечення автоматично встановлює та запускає програму віддаленого керування TeamViewer. Після запуску teamViewer спілкується з сервером C&C зловмисників.
"Потенційна загроза безпеці була виявлена, і перехід на [назву сайту] не був продовжений. Відновлення сертифіката безпеки може дозволити встановити це підключення. NET :: ERR_CERT_OUT_OF_DATE", - йдеться у повідомленні на сторінках.
Дослідники кібербезпеки з Malwarebytes Threat Intelligence виявили, що за допомогою підробленого інсталятора оновлень, підписаного сертифікатом Digicert, шкідливе програмне забезпечення TVRAT (також відоме як TVSPY, TeamSpy, TeamViewerENT або Team Viewer RAT) встановлюється на комп'ютер жертви. Шкідливе ПЗ надає операторам повний віддалений доступ до заражених хостів.
На думку експертів, зловмисники можуть використовувати різні способи злому серверів Windows IIS. Наприклад, код PoC для використання критичної вразливості хробака ( CVE-2021-31166 ) в стеку протоколів HTTP (HTTP.sys), що використовується веб-сервером Windows IIS, був опублікований в травні цього року. Microsoft виправила проблему і заявила, що вона впливає тільки на версії Windows 10 2004/20H2 і Windows Server 2004/20H2.
Група Богомолів APT (також відома як TG1021) використовувала вразливість віддаленого виконання коду в опитуванні прапорців ( CVE-2021-27852 ), незахищені вразливості десеріалізації та альтернативної серіалізації в VIEWSTATE та вразливість Telerik-UI (CVE-2019-18935 та CVE-2017-11317 ).
В Інтернеті виявлено понад два мільйони веб-серверів, що працюють на застарілих і більше не підтримуваних версіях IIS . Microsoft IIS - третій за популярністю веб-сервер в світі, на базі якого працює понад 50 мільйонів інтернет-сайтів. Частка ринку ІВС становить понад 12%.
