Аналитический центр AhnLab Security обнаружил распространение вредоносного программного обеспечения на веб-серверах в Южной Корее, которое перенаправляет пользователей на нелегальные сайты азартных игр. Злоумышленники успешно взломали плохо обеспеченный веб-сервер с использованием уязвимости в Windows Internet Information Services (IIS) и установили бэкдор Meterpreter, инструмент для проброса портов и вредоносный модуль IIS. Затем они использовали утилиту ProcDump для получения учетных данных с сервера. Модули IIS предоставляют функциональность веб-серверов, включая аутентификацию, HTTP-ответы и ведение журнала, и могут быть разработаны с использованием ISS C++ API или ASP.NET 2.0 API.
Вредоносный модуль IIS отслеживает строку в HTTP-заголовке веб-сервера и, при выполнении определенных условий, возвращает измененное значение ответа, чтобы разместить рекламу незаконного сайта азартных игр на корейских и китайских порталах. При переходе пользователей по ссылке их перенаправляет на нелегальные сайты азартных игр.
Перед установкой бэкдора Meterpreter злоумышленники выполнили ряд утилит, таких как ipconfig и systeminfo, чтобы собрать информацию о целевом сервере. Бэкдор Meterpreter запускается после получения IP-адреса и номера порта и взаимодействует со злоумышленником для получения и выполнения шелл-кода.
После установки бэкдора Meterpreter, злоумышленники установили утилиту HTran для переадресации портов. Затем они создали учетную запись злоумышленника, чтобы иметь постоянный доступ к веб-серверу извне.
Вредоносный модуль IIS был создан путем внедрения в обработчик OnSendResponse, который изменяет значение ответа для запрашиваемой информации веб-сервера по определенным условиям. Он проверяет значения входящего HTTP-заголовка, такие как User-Agent и Referer, и возвращает ссылку на страницу с незаконными азартными играми, если он содержит строки, связанные с определенными сайтами поисковых порталов.
Атака на сервер заняла менее 2 часов, включая получение доступа к серверу, установку бэкдора и создание вредоносного модуля IIS.
Indicators of Compromise
IPv4
- 43.156.50.76
URLs
- http://jsc.olacityviet.com
- http://ll.olacityviet.com
- https://ll.olacityviet.com/av.js
MD5
- 28dd72e322f6be382dac4fa9eb5cd09b
- d5312ab7f01fd74d399c392effdfe437
- ebeb931a6dd91a227225f0ff92142f2b