Случай распространения вредоносного ПО, связанного с нелегальным игорным сайтом, нацеленным на корейский веб-сервер

security IOC
Опубликовано

Аналитический центр AhnLab Security обнаружил распространение вредоносного программного обеспечения на веб-серверах в Южной Корее, которое перенаправляет пользователей на нелегальные сайты азартных игр. Злоумышленники успешно взломали плохо обеспеченный веб-сервер с использованием уязвимости в Windows Internet Information Services (IIS) и установили бэкдор Meterpreter, инструмент для проброса портов и вредоносный модуль IIS. Затем они использовали утилиту ProcDump для получения учетных данных с сервера. Модули IIS предоставляют функциональность веб-серверов, включая аутентификацию, HTTP-ответы и ведение журнала, и могут быть разработаны с использованием ISS C++ API или ASP.NET 2.0 API.

Вредоносный модуль IIS отслеживает строку в HTTP-заголовке веб-сервера и, при выполнении определенных условий, возвращает измененное значение ответа, чтобы разместить рекламу незаконного сайта азартных игр на корейских и китайских порталах. При переходе пользователей по ссылке их перенаправляет на нелегальные сайты азартных игр.

Перед установкой бэкдора Meterpreter злоумышленники выполнили ряд утилит, таких как ipconfig и systeminfo, чтобы собрать информацию о целевом сервере. Бэкдор Meterpreter запускается после получения IP-адреса и номера порта и взаимодействует со злоумышленником для получения и выполнения шелл-кода.

После установки бэкдора Meterpreter, злоумышленники установили утилиту HTran для переадресации портов. Затем они создали учетную запись злоумышленника, чтобы иметь постоянный доступ к веб-серверу извне.

Вредоносный модуль IIS был создан путем внедрения в обработчик OnSendResponse, который изменяет значение ответа для запрашиваемой информации веб-сервера по определенным условиям. Он проверяет значения входящего HTTP-заголовка, такие как User-Agent и Referer, и возвращает ссылку на страницу с незаконными азартными играми, если он содержит строки, связанные с определенными сайтами поисковых порталов.

Атака на сервер заняла менее 2 часов, включая получение доступа к серверу, установку бэкдора и создание вредоносного модуля IIS.

Indicators of Compromise

IPv4

  • 43.156.50.76

URLs

  • http://jsc.olacityviet.com
  • http://ll.olacityviet.com
  • https://ll.olacityviet.com/av.js

MD5

  • 28dd72e322f6be382dac4fa9eb5cd09b
  • d5312ab7f01fd74d399c392effdfe437
  • ebeb931a6dd91a227225f0ff92142f2b
Похожие записи:
  1. Kimsuky APT IOCs - Part 8
  2. Andariel APT IOCs - Part 3
  3. Kimsuky APT IOCs - Part 20
  4. BitRAT Trojan IOC
  5. Lazarus APT IOCs - Part 2
ASEC Meterpreter ProcDump
Добавить комментарий