В феврале 2025 года разведывательный центр AhnLab Security обнаружил угрозу от китайскоязычного специалиста, который внедрил модуль "родного" веб-сервера для атаки на южнокорейский веб-сервер.
Описание
Атакующий субъект получил контроль над веб-сервером, используя вредоносную программу-загрузчик .NET и бэкдор для выполнения веб-оболочки. Эти злоумышленники внедрили вредоносный модуль IIS на сервер Microsoft Windows IIS, который перехватывает HTTP-запросы и манипулирует ответами для перенаправления на другие страницы или выполнения функций веб-оболочки.
Модуль IIS, установленный злоумышленниками, предоставляет им возможность перехватывать весь трафик на веб-сервере и изменять его по своему усмотрению. Анализ показал, что возможно за атакой стоит китаец, так как используется вредоносная программа Gh0st RAT, распространенная китайскими угрозами, а также утилита для скрытия файлов на китайском языке. Поэтому рассматриваются меры по предотвращению и отражению подобных атак.
Угрожающий субъект обманом получил доступ к веб-серверу и установил вредоносное ПО через управление IIS AppCmd.exe для установки глобального нативного модуля IIS. При загрузке модуля процесс w3wp.exe загружает вредоносный модуль IIS в память, что позволяет перехватывать и манипулировать запросами на сервер. Вредоносные обработчики вставляются в три события: OnGlobalPreBeginRequest, OnBeginRequest и OnSendResponse, обеспечивая контроль и модификацию веб-пакетов.
Злоумышленники используют пять вредоносных классов, которые включают функции для манипуляций с HTTP-запросами, например, выполнение кода на сервере, перенаправление пользователей на другие страницы, управление партнерскими баннерами и загрузку файлов. Эти действия позволяют им контролировать сервер и данные, обманывать пользователей и скрывать свою активность.
Индикаторы компрометации
IPv4
- 47.236.9.229
MD5
- 1ca50c2d1b82732fc6c834bbdd4e34e2
- 2965ddbcd11a08a3ca159af187ef754c
- 381b2bc9bddbc405f727992f24942750
- 57b9f95562017eb483b592c7e0b4a0ea
- a09ceb23ad5e23269a34801cfff3a26b