ESET Research обнаруживает новые угрозы веб-серверов IIS, подслушивающие правительства и нацеленные на транзакции электронной коммерции
БРАТИСЛАВА, МОНРЕАЛЬ — 6 августа 2021 года — Исследователи ESET обнаружили набор из 10 ранее недокументированных семейств вредоносных программ, реализованных в виде вредоносных расширений для программного обеспечения веб-серверов Internet Information Services (IIS). Нацеливаясь как на правительственные почтовые ящики, так и на операции с кредитными картами электронной коммерции, а также помогая распространению вредоносных программ, этот разнообразный класс угроз действует путем подслушивания и вмешательства в коммуникацию сервера. По данным телеметрии ESET и результатов дополнительных интернет-сканирований, проведенных исследователями ESET для обнаружения наличия этих бэкдоров, с 2021 года через серверную эксплуатацию почтовых серверов Microsoft Exchange распространилось по меньшей мере пять бэкдоров IIS.
Среди жертв были правительства Юго-Восточной Азии и десятки компаний, принадлежащих к различным отраслям промышленности, расположенных в основном в Канаде, Вьетнаме и Индии, а также в США, Новой Зеландии, Южной Корее и других странах.
Сегодня ESET Research публикует белую книгу “Анатомия нативных вредоносных программ IIS” и запускает серию блог-постов о наиболее заметных из недавно обнаруженных угроз: IIStealer, IISpy и IISerpent. Они будут опубликованы на сайте WeLiveSecurity начиная с сегодняшнего дня и вплоть до 11 августа 2021 года. Результаты исследования вредоносных программ IIS компании ESET были впервые представлены на сайте <urlСреди жертв были правительства Юго-Восточной Азии и десятки компаний, принадлежащих к различным отраслям промышленности, расположенных в основном в Канаде, Вьетнаме и Индии, а также в США, Новой Зеландии, Южной Корее и других странах.
Сегодня ESET Research публикует белую книгу “Анатомия нативных вредоносных программ IIS” и запускает серию блог-постов о наиболее заметных из недавно обнаруженных угроз: IIStealer, IISpy и IISerpent. Они будут опубликованы на сайте WeLiveSecurity начиная с сегодняшнего дня и вплоть до 11 августа 2021 года. Результаты исследования вредоносных программ IIS компании ESET были впервые представлены на сайте <url>. Black Hat USA 2021 и также будет поделена с сообществом на конференции Virus Bulletin 2021 8 октября 2021 года.
Вредоносное ПО IIS - это разнообразный класс угроз, используемых для киберпреступности, кибершпионажа и SEO — мошенничества, но во всех случаях его основной целью является перехват HTTP-запросов, поступающих на скомпрометированный сервер IIS, и влияние на то, как сервер отвечает на (некоторые) эти запросы. “Веб-серверы информационных служб Интернета были нацелены различными злоумышленниками как для киберпреступности, так и для кибершпионажа. Модульная архитектура программного обеспечения, предназначенная для обеспечения расширяемости веб-разработчиков, может быть полезным инструментом для злоумышленников”, - говорит исследователь ESET Зузана Хромцова, автор статьи.
ESET выделила пять основных режимов работы вредоносного ПО IIS:
-Бэкдоры IIS позволяют их операторам удаленно управлять скомпрометированным компьютером с установленным IIS.
-Информационные системы IIS позволяют своим операторам перехватывать регулярный трафик между скомпрометированным сервером и его законными посетителями и красть такую информацию, как учетные данные для входа и платежные данные.
-Прокси-серверы IIS превращают скомпрометированный сервер в невольную часть инфраструктуры командования и управления для другого семейства вредоносных программ.
-SEO-мошенничество Вредоносное ПО IIS изменяет контент, подаваемый поисковым системам, чтобы манипулировать алгоритмами SERP и повышать рейтинг других сайтов, представляющих интерес для злоумышленников.
“До сих пор довольно редко программное обеспечение безопасности запускается на серверах IIS, что позволяет злоумышленникам работать незаметно в течение длительного времени. Это должно беспокоить все серьезные веб-порталы, которые хотят защитить данные своих посетителей, включая аутентификацию и платежную информацию. Организации, которые используют Outlook в Интернете, также должны обратить внимание, поскольку он зависит от IIS и может быть интересной целью для шпионажа”,- объясняет Хромцова.
ESET Research предлагает несколько рекомендаций, которые могут помочь смягчить последствия атак вредоносных программ IIS. К ним относятся использование уникальных надежных паролей и многофакторной аутентификации для администрирования серверов IIS; поддержание операционной системы в актуальном состоянии; использование брандмауэра веб-приложений и решения endpoint security для сервера; а также регулярная проверка конфигурации сервера IIS для проверки законности всех установленных расширений.
Наряду с белой книгой ESET будет публиковать более короткие блог-посты, полученные из этой статьи, с 6 по 11 августа 2021 года:
-Анатомия родной ИИС вредоносных программ (6 августа, 17:00 по московскому времени) — Большой Белой книге, опубликованной вместе с резюме блогпост.
-IIStealer: серверные угрозу для транзакций электронной коммерции (6 августа, 17:00 мск) — блогпост, что смотрит на вредоносные расширения в IIS (троян), который перехватывает транзакций, чтобы украсть информацию о кредитной карте.
-IISpy: Сложный серверный бэкдор с анти-криминалистическими функциями (9 августа, 11:30 CEST) — блог о вредоносном расширении IIS (backdoor), способном обеспечить долгосрочный шпионаж на скомпрометированных серверах.
-IISerpent: вредоносная служба для повышения рейтинга страниц (11 августа, 11:30 CEST)-блогпост, описывающий вредоносное расширение (серверный троян), используемое для манипулирования статистикой SEO для сторонних веб — сайтов.
Для получения более подробной технической информации об этих угрозах IIS прочтите вводный пост в блоге “Анатомия нативного вредоносного ПО IIS” и белую книгу по WeLiveSecurity. С 6 по 11 августа вы можете прочитать последующие блог-посты о IIStealer, IISpy и IISerpent. Следите за последними новостями ESET Research в Twitter.
Жертвы собственных бэкдоров IIS распространяются через цепочку уязвимостей Microsoft Exchange Server ProxyLogon
Кибер Бэкап Облачный, сервис резервного копирования и восстановления данных (BaaS) от компании «Киберпротект», стал доступен пользователям облачной платформы RCloud by 3data. Решение позволяет организациям любого масштаба — от малых предприятий до крупного бизнеса, обеспечить надёжную защиту данных с минимальными трудозатратами, без капитальных вложений и без необходимости развёртывания собственной инфраструктуры для резервного копирования и хранения резервных копий
Киберпротект расширяет линейку инфраструктурного ПО и представляет новый продукт — Кибер Хранилище — простое в эксплуатации хранилище данных c возможностью неограниченного масштабирования и реализации геораспределенных решений.
Киберпротект сообщает о расширении линейки продуктов для защиты данных пользователей от потери. У Кибер Бэкапа Персонального теперь есть мобильная версия для устройств на базе ОС Android. Мобильное приложение работает в фоновом режиме и обеспечивает сохранность данных на планшете или смартфоне, а также их быстрое восстановление в любой непредвиденной ситуации.
В новой версии песочницы появилось интерактивное взаимодействие в режиме VNC, интеграция с Microsoft AMSI для анализа вредоносных скриптов на PowerShell, расширены возможности статического анализа файлов, а требования к оборудованию теперь могут быть снижены вдвое за счёт использования облачного сервиса репутации индикаторов
«Отечественный софт» - крупнейшее объединение производителей российского программного обеспечения. Это членство открывает новые возможности для продвижения отечественных ИТ-решений и укрепления отраслевого сотрудничества.
Компания Dr.Web представляет новую версию Dr.Web Katana 2.0 — усовершенствованное решение, предназначенное для упреждающей защиты от современных киберугроз. Этот продукт выступает в роли дополнительного антивирусного «щита», усиливая безопасность в сочетании с решениями других вендоров.
К этой дате «Лаборатория Касперского» выпустила ежегодный отчёт о кибератаках с использованием программ-вымогателей. В документе анализируются глобальные тенденции таких атак
Ваши контактные данные не публикуются на сайте.