ESET Research обнаруживает новые угрозы веб-серверов IIS, подслушивающие правительства и нацеленные на транзакции электронной коммерции
БРАТИСЛАВА, МОНРЕАЛЬ — 6 августа 2021 года — Исследователи ESET обнаружили набор из 10 ранее недокументированных семейств вредоносных программ, реализованных в виде вредоносных расширений для программного обеспечения веб-серверов Internet Information Services (IIS). Нацеливаясь как на правительственные почтовые ящики, так и на операции с кредитными картами электронной коммерции, а также помогая распространению вредоносных программ, этот разнообразный класс угроз действует путем подслушивания и вмешательства в коммуникацию сервера. По данным телеметрии ESET и результатов дополнительных интернет-сканирований, проведенных исследователями ESET для обнаружения наличия этих бэкдоров, с 2021 года через серверную эксплуатацию почтовых серверов Microsoft Exchange распространилось по меньшей мере пять бэкдоров IIS.
Среди жертв были правительства Юго-Восточной Азии и десятки компаний, принадлежащих к различным отраслям промышленности, расположенных в основном в Канаде, Вьетнаме и Индии, а также в США, Новой Зеландии, Южной Корее и других странах.
Сегодня ESET Research публикует белую книгу “Анатомия нативных вредоносных программ IIS” и запускает серию блог-постов о наиболее заметных из недавно обнаруженных угроз: IIStealer, IISpy и IISerpent. Они будут опубликованы на сайте WeLiveSecurity начиная с сегодняшнего дня и вплоть до 11 августа 2021 года. Результаты исследования вредоносных программ IIS компании ESET были впервые представлены на сайте <urlСреди жертв были правительства Юго-Восточной Азии и десятки компаний, принадлежащих к различным отраслям промышленности, расположенных в основном в Канаде, Вьетнаме и Индии, а также в США, Новой Зеландии, Южной Корее и других странах.
Сегодня ESET Research публикует белую книгу “Анатомия нативных вредоносных программ IIS” и запускает серию блог-постов о наиболее заметных из недавно обнаруженных угроз: IIStealer, IISpy и IISerpent. Они будут опубликованы на сайте WeLiveSecurity начиная с сегодняшнего дня и вплоть до 11 августа 2021 года. Результаты исследования вредоносных программ IIS компании ESET были впервые представлены на сайте <url>. Black Hat USA 2021 и также будет поделена с сообществом на конференции Virus Bulletin 2021 8 октября 2021 года.
Вредоносное ПО IIS - это разнообразный класс угроз, используемых для киберпреступности, кибершпионажа и SEO — мошенничества, но во всех случаях его основной целью является перехват HTTP-запросов, поступающих на скомпрометированный сервер IIS, и влияние на то, как сервер отвечает на (некоторые) эти запросы. “Веб-серверы информационных служб Интернета были нацелены различными злоумышленниками как для киберпреступности, так и для кибершпионажа. Модульная архитектура программного обеспечения, предназначенная для обеспечения расширяемости веб-разработчиков, может быть полезным инструментом для злоумышленников”, - говорит исследователь ESET Зузана Хромцова, автор статьи.
ESET выделила пять основных режимов работы вредоносного ПО IIS:
-Бэкдоры IIS позволяют их операторам удаленно управлять скомпрометированным компьютером с установленным IIS.
-Информационные системы IIS позволяют своим операторам перехватывать регулярный трафик между скомпрометированным сервером и его законными посетителями и красть такую информацию, как учетные данные для входа и платежные данные.
-Прокси-серверы IIS превращают скомпрометированный сервер в невольную часть инфраструктуры командования и управления для другого семейства вредоносных программ.
-SEO-мошенничество Вредоносное ПО IIS изменяет контент, подаваемый поисковым системам, чтобы манипулировать алгоритмами SERP и повышать рейтинг других сайтов, представляющих интерес для злоумышленников.
“До сих пор довольно редко программное обеспечение безопасности запускается на серверах IIS, что позволяет злоумышленникам работать незаметно в течение длительного времени. Это должно беспокоить все серьезные веб-порталы, которые хотят защитить данные своих посетителей, включая аутентификацию и платежную информацию. Организации, которые используют Outlook в Интернете, также должны обратить внимание, поскольку он зависит от IIS и может быть интересной целью для шпионажа”,- объясняет Хромцова.
ESET Research предлагает несколько рекомендаций, которые могут помочь смягчить последствия атак вредоносных программ IIS. К ним относятся использование уникальных надежных паролей и многофакторной аутентификации для администрирования серверов IIS; поддержание операционной системы в актуальном состоянии; использование брандмауэра веб-приложений и решения endpoint security для сервера; а также регулярная проверка конфигурации сервера IIS для проверки законности всех установленных расширений.
Наряду с белой книгой ESET будет публиковать более короткие блог-посты, полученные из этой статьи, с 6 по 11 августа 2021 года:
-Анатомия родной ИИС вредоносных программ (6 августа, 17:00 по московскому времени) — Большой Белой книге, опубликованной вместе с резюме блогпост.
-IIStealer: серверные угрозу для транзакций электронной коммерции (6 августа, 17:00 мск) — блогпост, что смотрит на вредоносные расширения в IIS (троян), который перехватывает транзакций, чтобы украсть информацию о кредитной карте.
-IISpy: Сложный серверный бэкдор с анти-криминалистическими функциями (9 августа, 11:30 CEST) — блог о вредоносном расширении IIS (backdoor), способном обеспечить долгосрочный шпионаж на скомпрометированных серверах.
-IISerpent: вредоносная служба для повышения рейтинга страниц (11 августа, 11:30 CEST)-блогпост, описывающий вредоносное расширение (серверный троян), используемое для манипулирования статистикой SEO для сторонних веб — сайтов.
Для получения более подробной технической информации об этих угрозах IIS прочтите вводный пост в блоге “Анатомия нативного вредоносного ПО IIS” и белую книгу по WeLiveSecurity. С 6 по 11 августа вы можете прочитать последующие блог-посты о IIStealer, IISpy и IISerpent. Следите за последними новостями ESET Research в Twitter.
Жертвы собственных бэкдоров IIS распространяются через цепочку уязвимостей Microsoft Exchange Server ProxyLogon
Российская компания Content AI, специализирующаяся на разработке решений для автоматизации документооборота, открыла собственный Центр компетенций, основной задачей которого станет распространение полезных знаний среди пользователей продуктов компании и всех желающих освоить эффективную цифровую трансформацию бизнеса. Первой образовательной программой центра стал открытый учебный курс «Основы ИИ для бизнеса», предназначенный для повышения уровня понимания современных технологий искусственного интеллекта и возможностей их применения в разных сферах профессиональной деятельности
Урок остается доступным на официальном ресурсе проекта для всех желающих даже без подключения к интернету. В текущем учебном году тематический урок «Лаборатории Касперского» на тему «Кибербезопасность в космосе» проводился в образовательных учреждениях России с 19 января по 8 февраля.
Российский поставщик интеллектуальных решений на базе искусственного интеллекта для обработки документов Content AI и лидирующая российская консалтинговая фирма в области услуг по управлению документами «ЕСМ-Консалтинг» сообщили о полном техническом согласовании своих ключевых решений: ContentCapture, Content AI Intelligent Search и архивной системы М1:Архив. Синергия этих технологий позволила создать единую непрерывную цепочку операций — начиная от поступления документа и заканчивая быстрым извлечением необходимой информации
Российская организация «Базальт СПО», занимающаяся разработкой операционных систем серии «Альт», подписала договор о партнерстве с Российским университетом дружбы народов (РУДН) в рамках образовательной инициативы «Альт Академия». Основная задача соглашения заключается в подготовке студентов и молодых профессионалов для эффективного использования российских программных решений и продвижении отечественных технологий среди молодого поколения ИТ-специалистов
Российские специалисты по информационным технологиям из группы компаний «КОРУС Консалтинг» и фирмы «Базальт СПО» доказали совместимость своей продукции — платформ no- и low-code для управления корпоративными данными «Авандок» и серверной версии операционной системы «Альт» 11-го поколения. После завершения тестирования стороны подписали специальный документ, подтверждающий взаимную совместимость продуктов
«Доктор Веб» анонсировал значительное обновление серверной части продуктов Dr.Web Enterprise Security Suite и Dr.Web Industrial версии 13.0.1.202511120, которое станет доступным для скачивания начиная с 15 декабря 2025 года. Основное нововведение заключается в расширении функционала модуля «Контроль приложений», позволяющего значительно повысить уровень защиты конечных пользователей.
На факультете вычислительной математики и кибернетики (ВМК) МГУ имени М.В. Ломоносова начала функционировать лаборатория свободного программного обеспечения, созданная при содействии компании «Базальт СПО». Студенты получают возможность реализовывать образовательные и научные проекты, связанные с созданием прикладного и кроссплатформенного программного обеспечения, а также заниматься сборкой образов операционных систем на основе платформы «Альт» для различных нужд.
Ваши контактные данные не публикуются на сайте.