В конце августа - начале сентября 2025 года системы безопасности Harfang Lab зафиксировали массовые компрометации серверов Microsoft IIS с помощью ранее недокументированного вредоносного модуля, получившего название HijackServer. Связанная цепочка заражения включала использование ранее раскрытых ключей машины ASP.NET и готового набора инструментов, который содержит кастомизированный, но публично доступный руткит.
Описание
Расследуя этот случай, исследователи обнаружили варианты модуля HijackServer - .NET-версию для IIS и PHP-версию для сервера Apache, что указывает на масштабную операцию, затронувшую сотни серверов по всему миру. Хотя злоумышленники, по всей видимости, используют китайский язык в качестве основного и используют компрометации для поддержки поискового продвижения, развернутый модуль предлагает постоянный и неаутентифицированный канал, позволяющий любой стороне удаленно выполнять команды на зараженных серверах.
Эксплуатация уязвимостей ASP.NET ViewState, которая лежит в основе атак, была тщательно документирована начиная с 2010 года. Microsoft предоставляла средства защиты для снижения такого риска, включая улучшения и патчи на протяжении многих лет. Но эксплуатация ASP.NET ViewState остается возможной, если секреты, известные как ключи машины, известны злоумышленникам. В начале 2025 года Microsoft предупредила о злоупотреблении раскрытыми ключами машины ASP.NET для выполнения вредоносного кода через манипуляцию ViewState, что приводит к компрометации серверов IIS.
Цепочка заражения начинается с эксплуатации ASP.NET ViewState для достижения удаленного выполнения кода, после чего используются техники повышения привилегий для создания дополнительной скрытой учетной записи локального администратора. Злоумышленники затем загружают инструмент удаленного доступа для взаимодействия с графическим интерфейсом скомпрометированных серверов и в конечном итоге развертывают вредоносные модули IIS. Угрозчик полагается на предварительно упакованные инструменты и скрипты для частичной автоматизации процесса и пытается скрыть присутствие развернутых модулей с помощью руткита.
Особую озабоченность вызывает то, что криптографические секреты, используемые в скомпрометированных конфигурациях ASP.NET, фактически являются примерами со страницы справки MSDN, которая была общедоступна еще в 2003 году. Это демонстрирует, что многие администраторы IIS годами буквально следовали устаревшим рекомендациям, что привело к массовой уязвимости веб-серверов.
Набор инструментов злоумышленников включает ZIP-архив, содержащий 32- и 64-разрядные вредоносные модули IIS, скрипты установки и удаления, а также руткит Windows с сопутствующими инструментами. Руткит основан на открытом проекте Hidden и подписан просроченным сертификатом кодовой подписи, который все еще может загружаться на системах Windows из-за исключений в политике подписи драйверов Microsoft.
Модуль HijackServer, разработанный на C++, перехватывает все HTTP-запросы для всех приложений на самом раннем этапе их обработки сервером IIS. Операторы HijackServer используют содержимое HTTP-запросов к скомпрометированному серверу IIS в качестве канала управления. Основной целью модуля является поисковая оптимизация Google для сомнительных сайтов, связанных с криптовалютами, но он также обеспечивает возможность выполнения команд Windows без аутентификации, превращая его в легко используемую бэкдор.
Инфраструктура операции использует доменные имена, зарегистрированные через хостинг-провайдеров в Гонконге, и указывает на инфраструктуру Cloudflare. Исследователи идентифицировали 171 отдельный экземпляр модуля HijackServer, затрагивающий веб-сайты примерно на 240 IP-адресах серверов и 280 доменных именах. Заражения не ориентированы на какую-либо конкретную отрасль и затрагивают самые разные типы веб-сайтов, включая небольшие интернет-магазины, персональные сайты и правительственные веб-сайты.
Обнаружены сходства с инструментами, используемыми угрозчиком Larva-25003, описанным AhnLab. В частности, руткит идентичен тому, который упоминался в их публикации от 30 апреля 2025 года. Однако из-за ограниченной видимости неизвестно, отвечает ли тот же оператор за вторжение, описанное AhnLab, и компрометации, наблюдаемые в этом случае.
Первоначально случаи развертывания HijackServer казались доброкачественными, оппортунистическими и финансово мотивированными компрометациями. Операторы с очень ограниченными навыками использовали известные методы эксплуатации и развертывали готовые инструменты на серверах IIS, казалось бы, нестратегических организаций, для облегчения криптовалютных мошенничеств. Однако дальнейший анализ выявил масштабную операцию, затронувшую сотни серверов по всему миру за относительно короткий промежуток времени.
Независимо от цели угрозчика, операция эффективна и оставляет сотни серверов открытыми для неаутентифицированного и тривиального удаленного выполнения команд, даже если изначально эксплуатируемые уязвимости были исправлены. Любая третья сторона, сотрудничающая с угрозчиком или нет, теперь может использовать такие компрометации для шпионажа или развития вредоносной инфраструктуры. Администраторам серверов IIS настоятельно рекомендуется повернуть все ключи машины всех обращенных к интернету приложений ASP.NET и проанализировать конфигурации серверов IIS для выявления подозрительных модулей.
Индикаторы компрометации
Domains
- api.aseo99.com
- api.xseo8.com
- aseo88.com
- c.cseo8.com
- c.cseo99.com
- cn.lol
- cseo88.com
- f.fseo99.com
- f.zseo8.com
- fseo88.com
- gov.land
- jseo99.com
- lseo99.com
- mlxya.oss-accelerate.aliyuncs.com
- org.cfd
- wseo8.com
- wseo88.com
- wseo99.com
URLs
- https://f.zseo8.com/uploads/2024-10-24/48c3a008cd9ccfa5fd3bdb69ed6d12ce.txt
- https://f.zseo8.com/uploads/2024-10-24/99749da89ec4d1e3f3179f119f2a955b.txt
SHA256
- 0d07b8485145e0ea6789570b9ab476d8e1604110a9c45c9c753ef7bc5edfd539
- 13ebf6422fe07392c886c960fafb90ef1ba3561f00eedb121a136e7f6c29c9ee
- 4c6703c7435759dbe0c889474a5fae4ca86e491ca45887a0dae3fcd4649e79c5
- 4e24349b61c5af60a5e7f543c86963087ca6d6078378f83c8fe55b36dc6331f4
- 5113d2da6cd9f4a4a9123a3547b01250659dcc349c36159ee11b93805ce51105
- 64d0a4703ec976b0e0db4e193b9ccdf4ef6f34d24c32274579ee028a67bfa3a9
- 665234a6627269ba0b3816a6a29ede4fc72d36f34978f5ba1410e63d968d3d62
- 7260f09e95353781f2bebf722a2f83c500145c17cf145d7bda0e4f83aafd4d20
- 7a10207a430234b448f692a534cea16d400858c5fdda014c786fbf97127dce88
- 82a1f8abffbd469e231eec5e0ac7e01eb6a83cbeb7e09eb8629bc5cc8ef12899
- 82b7f077021df9dc2cf1db802ed48e0dec8f6fa39a34e3f2ade2f0b63a1b5788
- 83620389548516c74b40f9067ca20b7cc641a243c419d76ab2da87f8fd38e81c
- 88fd3c428493d5f7d47a468df985c5010c02d71c647ff5474214a8f03d213268
- 8ed76396e11d1c268b6a80def8b57abacf4ea1ac059838bd858c8587c26b849c
- 913431f1d36ee843886bb052bfc89c0e5db903c673b5e6894c49aabc19f1e2fc
- 915441b7d7ddb7d885ecfe75b11eed512079b49875fc288cd65b023ce1e05964
- a8498295ec3557f1bf680a432acf415abf108405063f44d78974a4f27c27dd20
- a96e1643dedd472e5712282904110ee948592fab722dc87d8f1e7658d3d8449d
- af05f1b780a14583887857cb87d697d985ce172abb1d57e4108cac5e5aaca136
- bd2de6ca6c561cec1c1c525e7853f6f73bf6f2406198cd104ecb2ad00859f7d3
- c1ca053e3c346513bac332b5740848ed9c496895201abc734f2de131ec1b9fb2
- c348996e27fc14e3dce8a2a476d22e52c6b97bf24dd9ed165890caf88154edd2
- e107bf25abc1cff515b816a5d75530ed4d351fa889078e547d7381b475fe2850
- e3bfd9aca49726556f6279aad2ab54ca9c1f0df22bcad27aa7e1ba3234f8eaff
- e6a9bf90accf17355a1f779d480a38838b2bbb2877cde095c7c139e041c50d71
- ed2c4429cf27e19aa6881d86bc5b42c21470525564fc53be688b9b26c83db766
- f9dd0b57a5c133ca0c4cab3cca1ac8debdc4a798b452167a1e5af78653af00c1
- fc16cb7949b0eb8f3ffa329bef753ee21440638c1ec0218c1e815ba49d7646bb
Yara
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 | rule iis_module_hijackserver_native { meta: description = "Matches the IIS HijackServer module" references = "TRR251001" hash = "c1ca053e3c346513bac332b5740848ed9c496895201abc734f2de131ec1b9fb2" date = "2025-08-25" author = "HarfangLab" context = "file" strings: $c1 = ".?AVCHttpModule@@" ascii fullword $c2 = ".?AVCGlobalModule@@" ascii fullword $m1 = "RegisterModule" ascii fullword $s1 = "hack1234" ascii $s2 = "<!- GP -->" ascii fullword $s3 = /\.cseo\d{1,3}\.com\/config\// ascii $s4 = ":(80|443)(?=/|$)" ascii fullword $s5 = "TryCleanTmp:" ascii $s6 = "no excute " ascii $s7 = "\\b(\\d{1,2})-(\\d{1,2})-(\\d{4})\\b" ascii fullword $s8 = "/Tqpn0tGX550fVwt5D6g4CGWP6" ascii $s9 = "\\IISCPP-GM\\" ascii $s10 = "\\Dongtai.pdb\x00" ascii $s11 = "_FAB234CD3-09434-88" ascii $s12 = "<input type='text' name='cmdml' place" ascii $s13 = ".?AVHiJackServer@@" ascii fullword $s14 = ".?AVWebdllServer@@" ascii fullword $s15 = ".?AVAffLinkServer@@" ascii fullword condition: uint16be(0) == 0x4D5A and filesize > 200KB and filesize < 2MB and $m1 and (any of ($c*)) and (4 of ($s*)) } |
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 | rule iis_module_hijackserver_dotnet { meta: description = "Matches the IIS HijackServer .NET module" references = "TRR251001" hash = "915441b7d7ddb7d885ecfe75b11eed512079b49875fc288cd65b023ce1e05964" date = "2025-10-14" author = "HarfangLab" context = "file" strings: $dotNet = ".NETFramework,Version=" ascii $c1 = "HttpApplication" ascii fullword $c2 = "IHttpModule" ascii fullword $s1 = "YourSecretKey123" wide fullword $s2 = "<!- GP -->" wide fullword $s3 = /\.cseo\d{1,3}\.com\/config\// wide $s4 = ":(80|443)(?=/|$)" wide fullword $s5 = "clean?type=all" wide fullword $s6 = "DealRequest" ascii $s7 = "\\Tiquan\\CustomIISModule\\" ascii $s8 = "\\CustomIISModule.pdb\x00" ascii $s9 = "\\Temp\\AcpLogs\\conf\\" wide $s10 = "RobotTxtServer" ascii fullword $s11 = "HijackServer" ascii fullword $s12 = "WebdllServer" ascii fullword $s13 = "AffLinkServer" ascii fullword condition: uint16be(0) == 0x4D5A and filesize > 200KB and filesize < 2MB and $dotNet and (all of ($c*)) and (4 of ($s*)) } |
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 | rule apache_module_hijackserver_php_decoded { meta: description = "Matches the decompressed and decoded Apache HijackServer PHP module" references = "TRR251001" hash = "e107bf25abc1cff515b816a5d75530ed4d351fa889078e547d7381b475fe2850" date = "2025-10-15" author = "HarfangLab" context = "file" strings: $php = /\$_SERVER\[\s*['"]PHP_SELF['"]\s*\]/ ascii wide fullword $s1 = "hj_clean_cache_dir" ascii wide fullword $s2 = "hj_get_file_content" ascii wide fullword $s3 = "\"清理目录空间 目录:\"" ascii wide fullword $s4 = "'/:(80|443)$/'" ascii wide fullword $s5 = "isCleanRequest()" ascii wide fullword $s6 = "shuffle_file_current_line" ascii wide fullword $s7 = "self::replaceAffLinkUrl" ascii wide fullword $s8 = "/Tqpn0tGX550fVwt5D6g4CGWP6" ascii wide $s9 = "HJ_CONFIG_URL_FORMAT" ascii wide fullword $s10 = "HJ_DEFAULT_LOCAL_LINK_NUM" ascii wide fullword $s11 = "renderHealthCheck" ascii wide fullword $s12 = "renderRedirect" ascii wide fullword $s13 = "renderAffLink" ascii wide fullword condition: filesize > 50KB and filesize < 600KB and $php and (4 of ($s*)) } |
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 | rule apache_module_hijackserver_php { meta: description = "Matches the encoded Apache HijackServer PHP module" references = "TRR251001" hash = "e107bf25abc1cff515b816a5d75530ed4d351fa889078e547d7381b475fe2850" date = "2025-10-15" author = "HarfangLab" context = "file" strings: $s1 = "\"display_errors\"" ascii wide fullword $s2 = /\$code\s*=\s*['"]eJztvWl7XMXRMPydX3GsKJmRGS22sQF5IbIkYwVZ/ ascii wide $s3 = /eval\(\s*gzuncompress\(\s*base64_decode\(\s*\$code\s*\)\s*\)\s*\);/ ascii wide nocase fullword condition: filesize > 10KB and filesize < 200KB and (all of them) } |
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 | rule wingtb_rootkit { meta: description = "Matches the customized Hidden rootkit, Wingtb.sys." references = "TRR251001" hash = "f9dd0b57a5c133ca0c4cab3cca1ac8debdc4a798b452167a1e5af78653af00c1" hash = "88fd3c428493d5f7d47a468df985c5010c02d71c647ff5474214a8f03d213268" date = "2025-10-15" author = "HarfangLab" context = "file" strings: $a1 = "\\Device\\WinkbjDamen" wide fullword $a2 = "\\DosDevices\\WinkbjDamen" wide fullword $s1 = "Kbj_Zhuangtai" wide fullword $s2 = "Kbj_YinshenMode" wide fullword $s3 = "Kbj_WinkbjFsDirs" wide fullword $s4 = "Kbj_WinkbjFsFiles" wide fullword $s5 = "Kbj_WinkbjRegKeys" wide fullword $s6 = "Kbj_WinkbjRegValues" wide fullword $s7 = "Kbj_FangxingImages" wide fullword $s8 = "Kbj_BaohuImages" wide fullword $s9 = "Kbj_WinkbjImages" wide fullword $pdb = "D:\\DriverSpace\\hidden\\x64\\Release\\Winkbj.pdb" fullword condition: uint16be(0) == 0x4d5a and filesize < 1MB and ((1 of ($a*) and 6 of ($s*)) or $pdb) } |
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 | rule wingtb_rootkit_commandline_tool_wingtbcli { meta: description = "Matches the usermode command-line tool for rootkit, WingtbCLI.exe." references = "TRR251001" hash = "913431f1d36ee843886bb052bfc89c0e5db903c673b5e6894c49aabc19f1e2fc" date = "2025-10-15" author = "HarfangLab" context = "file" strings: $s1 = ".?AVCommandUnignore@@" fullword $s2 = ".?AVCommandUnprotect@@" fullword $s3 = ".?AVCommandYinshen@@" fullword $s4 = "System\\CurrentControlSet\\Services\\Wingtb" wide fullword $s5 = "/buxiaoshi" wide fullword $s6 = "/fangxing" wide fullword $s7 = "/bufangxing" wide fullword $s8 = "/bubaohu" wide fullword $s9 = "/zhuangtai" wide fullword $s10 = "/yinshen" wide fullword $s11 = "Kbj_ShanchuFile" wide fullword $s12 = "Kbj_ShanchuDir" wide fullword $s13 = "Kbj_WinkbjRegValues" wide fullword $s14 = "Kbj_FangxingImages" wide fullword $s15 = "Kbj_Zhuangtai" wide fullword $s16 = "\\\\.\\WinkbjDamen" wide fullword $pdb = "D:\\DriverSpace\\hidden\\x64\\Release\\HiddenCLI.pdb" fullword condition: uint16be(0) == 0x4d5a and filesize < 1MB and (8 of ($s*) or $pdb) } |
