По данным аналитиков AhnLab Security Intelligence Center (ASEC), четвертый квартал 2025 года ознаменовался заметной активностью злоумышленников, нацеленной на плохо управляемые веб-серверы под управлением Windows. Мониторинг через систему AhnLab Smart Defense (ASD) показал, что, помимо веб-шеллов, наиболее часто используются инструменты для повышения привилегий, такие как различные версии эксплойтов Potato, а также прокси-вредоносные программы. Однако ключевым событием стала редкая атака, связанная с северокорейской группировкой Andariel (APT), которая вновь применила бэкдор TigerRAT, не замеченный в активных кампаниях с 2024 года.
Описание
В октябре 2025 года злоумышленники скомпрометировали сервер Microsoft IIS. Хотя первоначальный вектор проникновения остался неизвестен, анализ указывает на установку веб-шелла для удаленного выполнения команд от имени процесса w3wp.exe. После получения доступа злоумышленники первым делом собрали детальную информацию о системе, используя серию базовых команд, таких как "whoami", "systeminfo", "netstat" и "tasklist". Этот этап разведки типичен для подготовки к дальнейшим действиям.
Следующим шагом атакующие использовали PowerShell для загрузки дополнительного вредоносного кода (payload) с внешних ресурсов. В арсенале оказались несколько инструментов: сам бэкдор TigerRAT, утилита ProcDump для дампа процессов, а также инструменты для повышения привилегий PetitPotamato и PrintSpoofer. Необходимость в эскалации привилегий возникает из-за того, что команды, выполняемые через веб-сервер IIS, по умолчанию имеют ограниченные права, что сужает возможности злоумышленников.
TigerRAT представляет собой многофункциональный бэкдор, способный получать и выполнять команды с управляющего сервера (C&C). Его функционал также включает кейлоггинг, организацию Socks-туннелей и захват изображения с экрана. Аналитики ASEC подтвердили, что версия, использованная в этой атаке, идентична ранее наблюдаемым образцам. Характерной чертой данного бэкдора является наличие этапа аутентификации при связи с C&C, где для "рукопожатия" используются специфические строки.
После установки контроля над системой с помощью TigerRAT злоумышленники выполнили команды для запроса событий, связанных со службой удаленного рабочего стола, а затем очистили журналы событий Windows (Event Logs). Это стандартная практика для сокрытия следов взлома и затруднения расследования инцидентов.
Статистический отчет ASEC за четвертый квартал 2025 года подчеркивает устойчивую тенденцию. Если исключить из общего числа атак инструменты для эскалации привилегий и прокси-софт, то подавляющее большинство вредоносных программ, устанавливаемых на скомпрометированные веб-серверы, составляют майнеры криптовалют, в частности, использующие XMRig. Случай с TigerRAT выделяется на этом фоне, демонстрируя более целенаправленные и продвинутые действия, характерные для группировок уровня APT (Advanced Persistent Threat). Этот инцидент служит напоминанием о том, что даже в среде, где доминируют автоматизированные атаки ради финансовой выгоды, остается актуальной угроза целевых и скрытых операций, направленных на длительный контроль над инфраструктурой.
Индикаторы компрометации
Domains
- file.cdngoogleapi.com
URLs
- http://92.246.89.150/cli1.gif
- http://92.246.89.150/cli2.gif
- http://92.246.89.150/pd.gif
- http://92.246.89.150/pv.gif
- http://92.246.89.150/pv1.gif
MD5
- 49b220f01699efc9e894489eef1e2567
- 856c20c37aa62eefbd0c11d3c3c6ecb3
- 8a769c4a19a9885847e5d440a24a3020
- 9df2dfee4bed45f0fea0f73a055d3d17
- b879d552bcc4dc3ce613f921f59b457f
