Распространение вредоносного ПО для IIS, нацеленного на веб-серверы (Larva-25003)

Атакующий субъект получил контроль над веб-сервером, используя вредоносную программу-загрузчик .NET и бэкдор для выполнения веб-оболочки. Эти злоумышленники внедрили вредоносный модуль IIS на сервер Microsoft Windows IIS, который перехватывает HTTP-запросы и манипулирует ответами для перенаправления на другие страницы или выполнения функций веб-оболочки.

Модуль IIS, установленный злоумышленниками, предоставляет им возможность перехватывать весь трафик на веб-сервере и изменять его по своему усмотрению. Анализ показал, что возможно за атакой стоит китаец, так как используется вредоносная программа Gh0st RAT, распространенная китайскими угрозами, а также утилита для скрытия файлов на китайском языке. Поэтому рассматриваются меры по предотвращению и отражению подобных атак.

Угрожающий субъект обманом получил доступ к веб-серверу и установил вредоносное ПО через управление IIS AppCmd.exe для установки глобального нативного модуля IIS. При загрузке модуля процесс w3wp.exe загружает вредоносный модуль IIS в память, что позволяет перехватывать и манипулировать запросами на сервер. Вредоносные обработчики вставляются в три события: OnGlobalPreBeginRequest, OnBeginRequest и OnSendResponse, обеспечивая контроль и модификацию веб-пакетов.

Злоумышленники используют пять вредоносных классов, которые включают функции для манипуляций с HTTP-запросами, например, выполнение кода на сервере, перенаправление пользователей на другие страницы, управление партнерскими баннерами и загрузку файлов. Эти действия позволяют им контролировать сервер и данные, обманывать пользователей и скрывать свою активность.

IPv4

• 47.236.9.229

MD5

• 1ca50c2d1b82732fc6c834bbdd4e34e2
• 2965ddbcd11a08a3ca159af187ef754c
• 381b2bc9bddbc405f727992f24942750
• 57b9f95562017eb483b592c7e0b4a0ea
• a09ceb23ad5e23269a34801cfff3a26b