ESET Research обнаруживает новые угрозы веб-серверов IIS, подслушивающие правительства и нацеленные на транзакции электронной коммерции
БРАТИСЛАВА, МОНРЕАЛЬ — 6 августа 2021 года — Исследователи ESET обнаружили набор из 10 ранее недокументированных семейств вредоносных программ, реализованных в виде вредоносных расширений для программного обеспечения веб-серверов Internet Information Services (IIS). Нацеливаясь как на правительственные почтовые ящики, так и на операции с кредитными картами электронной коммерции, а также помогая распространению вредоносных программ, этот разнообразный класс угроз действует путем подслушивания и вмешательства в коммуникацию сервера. По данным телеметрии ESET и результатов дополнительных интернет-сканирований, проведенных исследователями ESET для обнаружения наличия этих бэкдоров, с 2021 года через серверную эксплуатацию почтовых серверов Microsoft Exchange распространилось по меньшей мере пять бэкдоров IIS.
Среди жертв были правительства Юго-Восточной Азии и десятки компаний, принадлежащих к различным отраслям промышленности, расположенных в основном в Канаде, Вьетнаме и Индии, а также в США, Новой Зеландии, Южной Корее и других странах.
Сегодня ESET Research публикует белую книгу “Анатомия нативных вредоносных программ IIS” и запускает серию блог-постов о наиболее заметных из недавно обнаруженных угроз: IIStealer, IISpy и IISerpent. Они будут опубликованы на сайте WeLiveSecurity начиная с сегодняшнего дня и вплоть до 11 августа 2021 года. Результаты исследования вредоносных программ IIS компании ESET были впервые представлены на сайте <urlСреди жертв были правительства Юго-Восточной Азии и десятки компаний, принадлежащих к различным отраслям промышленности, расположенных в основном в Канаде, Вьетнаме и Индии, а также в США, Новой Зеландии, Южной Корее и других странах.
Сегодня ESET Research публикует белую книгу “Анатомия нативных вредоносных программ IIS” и запускает серию блог-постов о наиболее заметных из недавно обнаруженных угроз: IIStealer, IISpy и IISerpent. Они будут опубликованы на сайте WeLiveSecurity начиная с сегодняшнего дня и вплоть до 11 августа 2021 года. Результаты исследования вредоносных программ IIS компании ESET были впервые представлены на сайте <url>. Black Hat USA 2021 и также будет поделена с сообществом на конференции Virus Bulletin 2021 8 октября 2021 года.
Вредоносное ПО IIS - это разнообразный класс угроз, используемых для киберпреступности, кибершпионажа и SEO — мошенничества, но во всех случаях его основной целью является перехват HTTP-запросов, поступающих на скомпрометированный сервер IIS, и влияние на то, как сервер отвечает на (некоторые) эти запросы. “Веб-серверы информационных служб Интернета были нацелены различными злоумышленниками как для киберпреступности, так и для кибершпионажа. Модульная архитектура программного обеспечения, предназначенная для обеспечения расширяемости веб-разработчиков, может быть полезным инструментом для злоумышленников”, - говорит исследователь ESET Зузана Хромцова, автор статьи.
ESET выделила пять основных режимов работы вредоносного ПО IIS:
-Бэкдоры IIS позволяют их операторам удаленно управлять скомпрометированным компьютером с установленным IIS.
-Информационные системы IIS позволяют своим операторам перехватывать регулярный трафик между скомпрометированным сервером и его законными посетителями и красть такую информацию, как учетные данные для входа и платежные данные.
-Прокси-серверы IIS превращают скомпрометированный сервер в невольную часть инфраструктуры командования и управления для другого семейства вредоносных программ.
-SEO-мошенничество Вредоносное ПО IIS изменяет контент, подаваемый поисковым системам, чтобы манипулировать алгоритмами SERP и повышать рейтинг других сайтов, представляющих интерес для злоумышленников.
“До сих пор довольно редко программное обеспечение безопасности запускается на серверах IIS, что позволяет злоумышленникам работать незаметно в течение длительного времени. Это должно беспокоить все серьезные веб-порталы, которые хотят защитить данные своих посетителей, включая аутентификацию и платежную информацию. Организации, которые используют Outlook в Интернете, также должны обратить внимание, поскольку он зависит от IIS и может быть интересной целью для шпионажа”,- объясняет Хромцова.
ESET Research предлагает несколько рекомендаций, которые могут помочь смягчить последствия атак вредоносных программ IIS. К ним относятся использование уникальных надежных паролей и многофакторной аутентификации для администрирования серверов IIS; поддержание операционной системы в актуальном состоянии; использование брандмауэра веб-приложений и решения endpoint security для сервера; а также регулярная проверка конфигурации сервера IIS для проверки законности всех установленных расширений.
Наряду с белой книгой ESET будет публиковать более короткие блог-посты, полученные из этой статьи, с 6 по 11 августа 2021 года:
-Анатомия родной ИИС вредоносных программ (6 августа, 17:00 по московскому времени) — Большой Белой книге, опубликованной вместе с резюме блогпост.
-IIStealer: серверные угрозу для транзакций электронной коммерции (6 августа, 17:00 мск) — блогпост, что смотрит на вредоносные расширения в IIS (троян), который перехватывает транзакций, чтобы украсть информацию о кредитной карте.
-IISpy: Сложный серверный бэкдор с анти-криминалистическими функциями (9 августа, 11:30 CEST) — блог о вредоносном расширении IIS (backdoor), способном обеспечить долгосрочный шпионаж на скомпрометированных серверах.
-IISerpent: вредоносная служба для повышения рейтинга страниц (11 августа, 11:30 CEST)-блогпост, описывающий вредоносное расширение (серверный троян), используемое для манипулирования статистикой SEO для сторонних веб — сайтов.
Для получения более подробной технической информации об этих угрозах IIS прочтите вводный пост в блоге “Анатомия нативного вредоносного ПО IIS” и белую книгу по WeLiveSecurity. С 6 по 11 августа вы можете прочитать последующие блог-посты о IIStealer, IISpy и IISerpent. Следите за последними новостями ESET Research в Twitter.
Жертвы собственных бэкдоров IIS распространяются через цепочку уязвимостей Microsoft Exchange Server ProxyLogon
На факультете вычислительной математики и кибернетики (ВМК) МГУ имени М.В. Ломоносова начала функционировать лаборатория свободного программного обеспечения, созданная при содействии компании «Базальт СПО». Студенты получают возможность реализовывать образовательные и научные проекты, связанные с созданием прикладного и кроссплатформенного программного обеспечения, а также заниматься сборкой образов операционных систем на основе платформы «Альт» для различных нужд.
Группа Arenadata проинформировала о выпуске обновлений для системы управления базами данных Arenadata QuickMarts (ADQM) и дополнительного модуля ADQM Control, которые теперь совместимы с российской операционной системой «Альт СП» (версия 10), разработанной компанией «Базальт СПО». Такое решение принято в рамках общей стратегии адаптации продуктовых предложений под требования современных заказчиков бизнеса.
Компания «Базальт СПО» презентовала свежую версию приложения WineHelper, предназначенную для удобной инсталляции и функционирования программ Windows в операционных системах серии «Альт». Среди нововведений — удобный графический интерфейс, поддержка альтернативных методов установки и скачивания приложений, а также встроенный инструмент для создания резервных копий установленных программ
Вышло обновление серверов Dr.Web Enterprise Security Suite и Dr.Web Industrial. Новая версия включает улучшения стабильности и новые инструменты централизованного управления действиями при обнаружении угроз на устройствах под управлением Android. Для получения всех преимуществ и корректной работы системы пользователям рекомендуется обновить серверы до актуальной версии
Компания «Доктор Веб» выявила опасный бэкдор Android.Backdoor.Baohuo.1.origin в модифицированных злоумышленниками версиях мессенджера Telegram X. Помимо возможности похищать конфиденциальные данные, включая логин и пароль пользователя, а также историю переписки, это ВПО обладает рядом уникальных особенностей. Например, чтобы предотвратить свое обнаружение и скрыть факт компрометации учетной записи, Android.Backdoor.Baohuo.1.origin умеет скрывать в списке активных сеансов Telegram подключения со сторонних устройств. Кроме того, он может добавлять и исключать пользователя из Telegram-каналов, вступать от его лица в чаты и выходить из них, также скрывая эти действия. Фактически с его помощью злоумышленники получают полный контроль над учетной записью жертвы и функциями мессенджера, а сам троян является инструментом для накрутки числа подписчиков в Telegram-каналах. Киберпреступники управляют бэкдором в том числе через базу данных Redis, что ранее не встречалось в Android-угрозах. По оценкам наших специалистов общее число устройств, зараженных Android.Backdoor.Baohuo.1.origin, превысило 58 000
Антивирусная лаборатория «Доктор Веб» обнаружила семейство вредоносных программ Trojan.Scavenger, с помощью которых злоумышленники похищают конфиденциальные данные из криптокошельков и менеджеров паролей у пользователей ОС Windows
Производитель серверного оборудования OpenYard и российский разработчик операционных систем «Базальт СПО» успешно провели тестирование ОС «Альт Сервер» на серверах компании OpenYard
Ваши контактные данные не публикуются на сайте.