Главная страница » Индикаторы компрометации
0
1 минута
Индикаторы компрометации

Вариант BadIIS с меткой "demo.pdb": товарный инструмент для манипуляции поисковой выдачей атакует серверы по всему миру

information security

В 2024-2026 годах исследователи безопасности фиксируют рост атак на веб-серверы под управлением IIS (Internet Information Services - служб интернет-публикаций от Microsoft). Злоумышленники используют модифицированную версию известного вредоносного модуля BadIIS, который превращает легитимные серверы в инструменты для SEO-мошенничества и перенаправления трафика. Особенность нового варианта - встроенная отладочная метка "demo.pdb", указывающая на долгосрочную разработку под псевдонимом "lwxat" и коммерческую модель распространения "вредонос как услуга" (MaaS).

Описание

Специалисты Cisco Talos в своём отчёте подробно описали этот вариант. Они выяснили, что атаки затронули страны Азиатско-Тихоокеанского региона, а также несколько инцидентов в Южной Африке, Европе и Северной Америке. Хотя разные вендоры (Trend Micro, AhnLab, VNPT, Elastic) отслеживают схожие угрозы, тактика и методы группы, которую изучали Talos, заметно отличаются. Поэтому эксперты с умеренной уверенностью связывают эту кампанию с китайскоязычными киберпреступными группами, которые используют единый товарный инструмент.

Ключом к пониманию эволюции вредоноса стали встроенные пути к PDB-файлам (Program Database - отладочным файлам, которые содержат информацию о сборке). Эти строки показывают, что разработчик работает над BadIIS как минимум с сентября 2021 года по январь 2026 года. Названия папок отражают быстрые итерации: например, "dll0217", "dll0301", "dll0315" - скорее всего, это даты (17 февраля, 1 марта, 15 марта). Особое внимание привлекает папка "dll-no503": она указывает на исправление проблемы, при которой модуль вызывал ошибку "503 Service Unavailable" на сервере. Другая папка - "兼容百度浏览器+劫持robots.txt" (совместимость с браузером Baidu + перехват файла robots.txt) - прямо подтверждает участие в SEO-кампаниях, нацеленных на китайскую поисковую экосистему. Самая поздняя обнаруженная сборка датируется 6 января 2026 года, что доказывает активную поддержку инструмента.

Более того, в PDB-путях встречаются и заказные версии. Одна из папок содержит упоминание "xshen" (x神) и пометку "полное перехватывание сайта с перенаправлением по языку браузера". Другая - "过诺顿" (обход Norton). Это значит, что автор продаёт или сдаёт в аренду экземпляры с дополнительными функциями, например, для обхода конкретного антивируса.

Особый интерес представляет обнаруженный инструмент сборки (builder). Он позволяет злоумышленнику гибко настраивать итоговый вредонос. Builder генерирует конфигурационные файлы, JavaScript-перенаправления, PHP-скрипты для внедрения обратных ссылок и встраивает параметры непосредственно в бинарный файл BadIIS. Судя по интерфейсу, это версия 1.0, но сама сборка датируется августом 2022 года. Работа с утилитой включает четыре основных режима.

Первый - перенаправление трафика: злоумышленник указывает целевые URL, обычно JavaScript-редиректоры, которые внедряются в браузер жертвы. Пользователь попадает на сайты с нелегальным контентом, азартными играми или мошенническими страницами.

Второй - обратный прокси: модуль подменяет ответы поисковым роботам. Когда краулер обращается к скрытым URL на взломанном сервере, BadIIS подгружает нужное содержимое с управляющего сервера злоумышленника и отдаёт его для индексации. Builder включает опцию глобального проксирования - перехватывать даже тех роботов, которые не заходят на скрытые страницы.

Третий - захват контента: можно подменить весь сайт целиком. Задаётся процент трафика, который будет перенаправлен, указывается, заменять ли главную страницу, и задаётся удалённый URL с новыми метаданными (заголовок, описание, ключевые слова).

Четвёртый - внедрение внутренних и внешних ссылок. Внутренние ссылки помогают поисковым системам находить спам-страницы, размещённые на скомпрометированном сервере. Внешние обратные ссылки манипулируют рейтингом сторонних сайтов, "одалживая" им авторитет легитимного ресурса.

Процесс сборки не полностью автоматизирован. Перед запуском builder’а нужно подложить в ту же директорию "сырые" 32- и 64-битные DLL-модули BadIIS. Затем утилита создаёт файл config.txt, пытается аутентифицироваться на управляющем сервере, проверяя совпадение строки "lwxat". Если сервер не отвечает правильно, сборка всё равно продолжается, но это поведение стало важным индикатором для исследователей. Адрес управляющего сервера обфусцируется (маскируется) с помощью однобайтовой операции XOR с ключом 0x3, после чего вместе с остальными настройками вшивается в итоговый бинарник.

Talos также нашёл целый набор вспомогательных инструментов, разработанных тем же автором. Это сервис-установщики, дропперы и механизмы закрепления. Один из них проверяет, запущен ли он как служба Windows с именем "Winlogin", затем проходит двухэтапную аутентификацию на управляющих серверах. Другой инструмент динамически читает внешний конфигурационный файл config.txt в формате, напоминающем XML, и на его основе подготавливает команды для установки вредоноса как в 32-, так и в 64-битной версии. В последних версиях инструментов разработчик объединил эти возможности, но добавил дополнительный уровень обфускации с помощью пользовательского кодирования Base64, чтобы скрыть строки от антивирусов.

Самое свежее решение - два отдельных файла для установки. Первый отвечает за аутентификацию, копирование вредоноса в основной и резервный каталоги и регистрацию в списке модулей IIS. Второй устанавливается как системная служба, маскируясь под легитимные имена вроде FaxService или AudiosService. Такая схема обеспечивает живучесть: даже если основной модуль удалят, при перезапуске IIS сервера вредонос восстановится из скрытой копии.

Набор доказательств позволяет с высокой уверенностью считать, что псевдоним "lwxat" принадлежит основному разработчику. Во-первых, эта строка используется как пароль при аутентификации в builder’е и сервисных утилитах. Во-вторых, в конфигурационном файле config.txt параметр "lwxat" включает функцию enable. В-третьих, в живых атаках модули BadIIS используют User-Agent "lwxatisme" при HTTP-запросах. Всё это прямо связывает вредоноса с одним автором.

Собранные данные рисуют картину хорошо отлаженного криминального бизнеса. Разработчик предлагает базовую версию BadIIS с builder’ом, а затем продаёт или сдаёт в аренду модули с дополнительными возможностями: обход конкретных антивирусов, полное перехватывание сайта, перенаправление по языку браузера и т. д. Такая модель MaaS позволяет непрерывно монетизировать вредонос, а злоумышленникам - быстро адаптироваться под защитные меры.

Для администраторов серверов это означает, что компрометация IIS может оставаться незамеченной месяцами. Вредонос не крадёт данные напрямую, но разрушает репутацию сайта, снижает его позиции в поисковой выдаче и может служить прокладкой для фишинга или распространения вредоносного ПО. Регулярная проверка загруженных модулей IIS, мониторинг необычных запросов к серверу и обновление антивирусных баз с учётом новых индикаторов - вот базовые меры, которые помогут вовремя заметить активность BadIIS. Однако главным выводом остаётся то, что перед нами не разовая атака, а зрелый подпольный рынок, где разработчик уже пять лет совершенствует свой продукт.

Индикаторы компрометации

URLs

  • http://143.92.36.109/authorize.txt
  • http://154.23.186.99/authorize.txt
  • http://154.36.149.4:7788/pipen/listen.php
  • http://38.181.52.147/authorize.txt
  • http://45.194.17.133/authorize.txt
  • http://iis.01nmwe.xyz/cs/123.php
  • http://lee.6686ty.vip/listen/authorize.txt

SHA256

  • 01577f5b0869154fb678bcf86eef50afceb5fc189c87b2085fe5fcdf74cd6ff0
  • 017febf95f5628919748cc9c355522da9ed6b44dc5be741c87a372f1c3fa83e6
  • 02dba6f34480eac1d27c83a4ff06e3ba03fc63fcf3067e0957375bfd182ed39b
  • 02e98650e89146f0bddf29dd73165b9993d52f966d6194d375b6f0fcf737c38a
  • 03bc0ddfa59cfa290c426396f1c5fff45bd2c3ef90152cafc7c662c075dfc7d8
  • 03fef9805e2e7dfd31d9277253fbc1a5c3eddeedee4e1950e42f860b7e936287
  • 08f965f640a3ec1c3aa9c31033455fad02550485d0d5b6fe33553d374775f18a
  • 0ebe923b7bc39489532b377c69ce808c38206dd931286d0b0b4bf7b245020174
  • 0f2b4bbba973b8258486a6b2a298464ba835a5e07a48cbe1e4fe2b9dd0bf4199
  • 0f7df7ac22957da6a793f641cda611c2c2a294355d4d19b29b6920853a012d98
  • 103935a59d45d9b3024b927ae1a405908281ee1c8b82f84a3f624c9493bf85c4
  • 1108c5b5a80646547106ff6f07c53ee25133881cf934ed0074980494f3a38dea
  • 12e4817abc69918b8556a4f18371c803db3d5191031cb56f835ec33cdb12f0d9
  • 13f094d3eebe9d700360868006ac022a622ec606628adcc3782123d5092224d1
  • 144129f42081dbbacbbd15688dc5f4dcb97c3dd17cc1352abe80b524c0ea7ca8
  • 154fd4f9045872c39c7e0786afcfed52a915a86536001cb9d6c16f378ffae235
  • 17f736ce6e10350473f58ed0823a5bdecdea7d46d4ff215cc9b409b38ff11c57
  • 18939c40dd601550da9f07d8115f4b19bec422df4ada9358bac9bd9e9ac94e94
  • 1bb1187daff9610a0c142b48bc04d3e883344ca0eca8fe915d6a02fb3e7571ff
  • 1cb60c7a121187978661b4bda84279f2324a5779b3f58bac11470a73fe544f6a
  • 202c4db46975151c4ceb5bccf6070e15b7430c58248d2df1b7f70b5b6d394b57
  • 21a61777b0f725dd0dbdb2ecd0dd66e952012e94894e71c306059990c2afe377
  • 22cebb4f0fe6f4377e91b1e19204eff0f744d316b8c900377d8db4aa4f457801
  • 23a7adda56e2e5519e01f57f16f99e4be611aac4fa908f2ee2d99e3d96e14865
  • 2496bfe15e283affdfcd7f1de9134227671e2cddfb726b46829fa966abb9ac96
  • 24aafe0a2033e2e5ca231ebca0e3c56740754a97ca1f5062305e6b30222fc0ee
  • 28932e52c905d98037d8a9a4829bcba1e49af9d477d4dedaeb3a9a5c3cc21ee5
  • 2caed12f67528311373c33c45942b04eabe84733e10b2b42e6ac163c965c4bb6
  • 2d93e6130ee8adc36418d9e70f95a0130984d1fae1a7ecb29ccecb6da91e35ee
  • 2e20ce7bc1e653737f05c910759fd2e420fe28f77f80a6d8e7c9346809e4dce7
  • 2ec893440e04de55bc6bbe4b1db76df532aa42d3140a15dc5365ef520a1d4247
  • 32de7b9a71201cadef21d25038c0b072cd28b9b5bae60cd9fe4126c2451cb4ae
  • 33e5e5e773d1909004d4b38a0e4e3e97e46cbdb7b17f94b28fce2c9ad0a375d3
  • 381dc36504e1b319fde9bbae0a580da9f239b8af8066638f9a4203e58dc16087
  • 3b8adf88b10e0c66d97b4909a17d4436a043ded5cf29c85ead22b58917e9ac7b
  • 3d331e6c5c1b22377b3b4aba9f71d65a10a77df6d8ee64c3a0d7d7de3d1f1565
  • 3e793bc53e5bd664254d26bcb16bb954ca51219d9ba9ec1975930bd3a6dad947
  • 402c616229aa0c7f98cfc3f4e9781c2468bd79c2d23da1cdf38172cb082a8a9c
  • 4091ddc3560fb60bd3ef071367fd833d67c3c6e3e81165aa3d93519b93959658
  • 42906ac10d053eec10c05e2eeebcb06a7d6b307dc0d18083151dff3e0ac70022
  • 430c612fa2f6ec821b45e7113b5d39ef05eccdf147cb1cd488c487336d896d44
  • 44bfb9f0e13dd72ed111b5b5600b80b305ab153a0ee2224957e76391b28ac037
  • 4a51c7d22548cf448c11abb8d13cf3e9b4408b76aa183f20fa8c31f551857fe6
  • 4ba408a0ad111b344320b00c77eabbb9c9b1b1d624d316f0e0b8b71af16ef4d9
  • 51523ebff207c5a56915cd28c58f61daef6dcf6992776979c9d634126852144b
  • 521869f9ee6066c33fb1615cbcad66de157876bd08cec05597e4d3a0405efac8
  • 524a9dfe12299ec9cc3148692b620130c7e767ed0430f211be4128a82c0fdafc
  • 52698400639f48b6a3f233f246213903186803d149c09980abc9c5940df390ae
  • 5904b42d8099a6657ea21a6af0ae9bd50ae7ca4b619fee125df133051cff2b8a
  • 59b416efff07208dc8b1c98a6f754e3abc14e55d71971ddc5581f6bc7ca45837
  • 5a4f4abdae88a124b1e089c209c494ff1780a16a2ead6930ab4ecb4db21aa777
  • 5a938c3d1b961324db242ed0107d645056ea3a78e2b6b9384f15d02eed1dcfe4
  • 5b497b4205427198fc922c74cad8275b4256579f8bb5a1f1dbad7151630288a0
  • 5d0b2015998a8a5a2a60ebdd2f3d6a398e533d198b9157c1558e6913330c24ba
  • 5d337a5507649697ecb798dd4f8e524d92e313f0ab38908d1ede0e9c370805dd
  • 5d838c0dbf164b26c4c5dc20f96d3bf48a5f9fde88bbc1dd02c08007bb184d86
  • 5d8404e42c723b7d19d690266e46dc93530181cad479726b33efa93bb9009655
  • 5fa61df83820c310b0bf0e3ce340977362e1fb6f6304a36159ac58803ef9acd2
  • 61913e0a38282a42b26aff578da17dab60ac0fbee819fa42db5497cc5cf55760
  • 62a0970a4f5050d0902b01e9cb2524fab84c71435eda5a4dc20a5de8129b53ae
  • 6503770b34c53025793f1674af87d80a8f6ed44b5780490796012a2b771b8f84
  • 65967f471440449d2f1b615ff1338b8082b0481b617eda4d9f21a9f102b98859
  • 6606d6e6424f7c25b922905095ba8cbff83357430bf1ef0ce0553a411fed1748
  • 691a58830ba5ec178a189ced9a11a1dacabcda5158d93dbb423a2f8f0ec5e7bf
  • 6c9d78daf24ddcd106b539f57a2bd295e8fffcbfb5e7360fe7dc2fd3b8e08964
  • 6edb1fd609c7e011cd42656af67baf5271d8212933a8c964604d138306b9565f
  • 7321d599e777088356d7549e638b6b67fc43fc5c9f0c8846ee5aa7f47e35c2eb
  • 79b3c217f5b7c257d8c7f4c8166102e9754208e60306aa3f4bf917e765fac8ea
  • 79b7fe6db452edd3077fb55906beea64c19087a19e5fb35211dd80975db74f9e
  • 7a0e2aee8141c06558347dc4800daba06ab337c5619ba501da49ed03adf8175e
  • 7b190719c3fb9c0bde074981adaf5b04356c9c48fa2fccdb334c4ae218f66fc0
  • 7c7ea6a79e080cde8433d9600b95146b9ecda394a2ae9b6828f03e95bab3bb60
  • 7ccdd8966adf04ddd9b24dac0d1b8642968598a88ec3f5048b279843bffefb84
  • 801d55e3e5a2f9ff0b02cb40f07d222b6baa8c8fb03199b40e90b022cb8188b8
  • 80e9a39292b7af7b9831563799776808e597bade3fba4f4d7b25b6833a8c7e5a
  • 821c21dd94235c74b614d5277a1240e4c29c71b8f8bba8032a0d106499565b46
  • 821fb227f5a91b84216ee043e53658c962012d498c4c13043b667d2bf3f86bc2
  • 82a217c8afb734e6d8cb3549fc2a42fd03ab8998a79c5048cf9fefd435f8e14c
  • 87539d2ae9d3e133a4bb20821874ea6d57789d7344990c8396be3b8f3b9c677d
  • 89169f480810198a2cbb28fab15e0dfc8d1ee53981a9834cb84a84d077db3d17
  • 8a49966eb90acc5c05a6bba523f1dd0d58127ab731d44c7304204fa02bf61186
  • 8ae43e6bd2cf0f8ced8f888226a4d6d06a7b03552e9af3d3cde35bb1d9724867
  • 8eb51f51eea27de8b976bdbcc84f4cf386256dfd9dc3702df8f839490699e173
  • 8fee015ae0e978e39af2cd1ca74b29202e702d296c110f3a7a90dfadce28d4a6
  • 904664b098774a985109acc27f8171fd5b043b7f69fc0e825c5f84f49aef1024
  • 92e8076a59831156af5dc7058356cc0ad3dbd3c32cd84b08c3c8541ccc32d1c0
  • 9842cd4a6c52adcae5ce9be5cdb9c7b64df1ab2b9f67212ee71ae27ac5ebc321
  • 9a83adc46f9f5007ad2213a42593c1224c8ea68fa1c2c108c2888e05fe04c6c8
  • 9bc8b1f9b9e4e8dff50e577666f660e4dbfba53d990dce6f5609713b797a2b16
  • 9c095a2bf2d4c44d5f55dedaa813fe186b17ce3f9805cc9ea0b96add299d9128
  • 9cac02c63febe2a13bf41d7f2c2f6a2c8e78d76529f447357d28e3be0ba2cf4c
  • 9eb45f6f529f9f385a87b13c41351800a1046718d45e7d99e1feb053c26d469f
  • 9fbae4ed1de2b09af9a246a021f2a7fc8667492d459ac346eba6719509c41c5a
  • a01ae86a356373f0d3e1b843f50243394308a96bd01978b33e4a91c0f0b19cce
  • a0bb95eafc9913633c7e27f0f1e6c81eb4c138a809c109ad3abae5fcc47c2cbd
  • a2a9dcdfc6f0aab577bc0f2750ff44050034c0f1c2f8b325a246f4dfe5f33219
  • a311218ea197f87202e2e5ff29d0d50691b6c89a5a9ddc67e704c85f2a57489e
  • a35f810ed9ffd884d0599aa391d0043ad955e821f8144089116b15f01b8a932b
  • a383c13bbe949d0b6dff23e3243c7bbac1813d2ce9d99149cd5b984f051005d0
  • a4906b40232726948f6a5357ad0ee9445512b422ae510d2ef08bd9cf516852bd
  • a640f34e4cf6d0b04fac25b6cca9a9afa7efe40a0314f8a76e6e411fb089a085
  • a68d83fd210b8ca21370a0f38da8fc0dd20b081e69beef911060924aa708a280
  • a79be809c2ba4d438d113678c2cea7e24a593526990690e5bbf42e91c669127a
  • a8c05eddf88d933c1bb29dddc8ba05b5bd896772b3fd0fba53f12811fec60c9e
  • a958eef8299dc15eb9fa0c860efd07d298259a8c7369cc5e288921d5ab11ea69
  • b0f419467a36a9ab71fe0aa8e1587377d668789b18907ec0993cb549c61c9d42
  • b6844533bb887e870eb88fba88ed4d616ea8a9573b673faf927846c802f7817c
  • b9ba4c4fff3f5042805b2d75484fdf4e0a7e067cfa560b07544570e20775457e
  • ba91790d184a6fe9fe51f5805ef20421b6baca06d293d83d1a46abb8e2b6cf76
  • bb9b0b20d239b2f5fe6da31fc2d13ec4ba6083238df68befd33d7521570d334e
  • bbf9d7dafba979ef9c1e8531a20d3bea1adcdbb628816ce8781d7eeb6292f265
  • bf45c48b209e5004520b5d541e406c183bccb2fe81f3974c2c53be48017f74ca
  • c0bef80a01044cc57eeaec7b2e81f8f3e9dbd677fedadd6b3d4afcae850f4175
  • c16f05b4940121654c34cabf6e8b36dedbec38ebe1f17e19486c9ac07d711cf2
  • c732067b3d8763c248051366ab7beeae0d7fbe105884d4d3f8647e3427f36daf
  • c75a9a104e340473b72140127f3039a08f99a334887afc100d09cffa3c4c8e24
  • cc67b50d746b23b9bc6fc12dde8c64d72c7f856521787b964598672d83525915
  • cdce23236179d5253024d9f7eca815246f2efaa46d43cea767c97d26205fde9e
  • d0491f1933b4ee4cea85eed60981a8a58cfd47b10798ed2bb18202fff1ef8ac4
  • d0da3be9de8e7068a65247b8195d73e88f454820e13c1de62675e1f845d6fabf
  • dd9e981b355d29e091194eeb72d5a2d67d9d905f0cd9fef2150f2ea1e3c49119
  • df75b0b8ea1f75f0039c158c89e413ed6c4352309cc2cfa282afd1857676a88c
  • e09067e3e134e620b69117caf5bee54c1066b7259b74ddf2399afc64116690c9
  • e0f6848317f9829d093cbfbf025e8d27a2498c8708e32218a2c6d27e28c1fa8e
  • e1c117bfa71d0cf5e9305839d56c73752be53bd6426d4c2b4f5d51ee3735d8e6
  • e3197285c98965ca0522d3683c0d656e4ab1f8335ca322e1ae8c06b79dfd9b9c
  • e3c73f76f7b08ab6e223918a5b961201f60934ec95e5362529a42c1655395443
  • e645ee394546db818350adfb2c55bffea78f405ac0ebb3fb1486e7d2f042c46f
  • e785a751abc39bd07b296e9ed2c0e3329c071206c9ff1b1d8fa70058ec8db73f
  • e7d8b5647917589949634155d936d8aa4dd25307a9292fb43d47281001859a9b
  • e8201b4a0f2619224e0720034dfc19a75f77582531bd98a2465a58bbf4a9f8c6
  • e927d6ea1fdc27c0ae9eb55254bbbd4f501f14ae02e499d7d20cdd83af479b20
  • eb857127c83b5cd4632384f4e72af944aa5073b41c2667957744b6724ba354c0
  • ed3882a77cdc372f647e647b66979525a50054a580b43499ce5a97864d772730
  • eda7a7edc01392706a872a5a275940b4a4b9471dc562eb70128ee672872d1407
  • f07d869ddd17d4359e26da43574d0d07987b500a390196b72b3c1747a4cbb3bf
  • f1dcd2809a001a0d0ea3221939f7afd2ef9e5bf468709bd91abd70c902c42d45
  • f1ed51a83b8b46382ecb986d86db83d7610cdc86cb3f6db364c2539c5f5d1f71
  • f28ec4c8ae8094f6507ccbd31bb808ed0b99e0cee838bdeea4b7a1b2780666a1
  • f2f900defd033edf17969f96305d8cc70b90c951ff4286716c2975a13a9fe265
  • f72f78296dffda24d395b9a3140e7533f4c8499a00d1016613f80a483acfd834
  • f9017361349421728fc1ac1bc1549b3d23b35bd795f0a83be2e9e517bccaccdc
  • fa15ba707356cb474c16ce04abd86ae9d074763ab965e3766d6af56f37003dda
  • facfea68fe95fc81e3b6e04f79fbcba738c79b4de2d0238e4e5a8ba095a2516d
  • fbd3d1828592a2c1f154ebe2283643e24dee1db9f8989ce32e54b00d470a0096
  • fd672223dce0399fb2d07e4844d0428552a9288d495e1641ef5e4a78b89ebead
  • fdbe78935bd3f56df43a4702b83a568881f119e43236e92ecf10ca19eac6b87f
  • fe14c579308d356c64bd3be9365014de805a17abab8cb741e2817b8451a92f64
  • fec618c4f832d8a182fc1d3b9e58a0bff1a62241a1d17108e84ed1f0c4bb7845
  • ff8095aba365885b0886da894794ac45ae5e0c3363a45ae106383e5bd1353941
  • ffceed66dd9935c92ff7922bd5fdfde08e9a2ff78dd3a76dc65a200305779b9c

Комментарии: 0
Похожие записи
0
10.02.2025
Индикаторы компрометации

Китайскоязычная группа манипулирует SEO с помощью BadIIS

security
Исследователи Trend Micro обнаружили кампанию SEO-манипуляций, которая использует вредоносную программу BadIIS для эксплуатации уязвимых серверов информационных служб Интернета (IIS).
0
05.02.2026
Индикаторы компрометации

Группировка UAT-8099 усиливает атаки на Азию с помощью новых инструментов и региональных вредоносных программ

APT
Исследователи из Cisco Talos обнаружили новую кампанию угрозы, обозначенной как UAT-8099, которая была активна с конца 2025 по начало 2026 года. Целью атак стали уязвимые серверы Internet Information Services
0
16.11.2022
Индикаторы компрометации

RapperBot Botnet IOCs - Part 2

botnet
FortiGuard Labs обнаружила эту кампанию, когда искала образцы, использующие уникальный идентификатор бота, используемый RapperBot для связи со своим сервером Command-and-Control (C2), как сообщалось в предыдущей статье.