Odposlechy vlád i útoky na platební transakce. Eset odhalil nové hrozby pro webový server IIS.
Analytici Eset objevili skupinu deseti nezdokumentovaných rodin malware, které jsou implementovány jako rozšíření pro software webového serveru Internet Information Services.
Tento malware odposlouchává a manipuluje s komunikací serveru. Cílený je na vládní e-mailové schránky, transakce kreditními kartami na internetových obchodech, obsahuje také funkce pro další distribuci malwaru. Podle výzkumu společnosti Eset se v roce 2021 šířilo nejméně pět variant malware prostřednictvím zneužití e-mailových serverů Microsoft Exchange.
Internet Information Services (IIS) je webový server, který obsahuje moduly pro operační systém Windows od Microsoftu. Spolu se servery Apache a Nginx patří mezi nejpoužívanější webové servery na světě.
Mezi oběťmi útočníků jsou vlády v jihovýchodní Asii a desítky společností z různých průmyslových odvětví, které se nacházejí zejména v Kanadě, Vietnamu a Indii, ale i v USA, na Novém Zélandu, v Jižní Koreji a dalších zemích.
Oběti IIS backdoor šířících se prostřednictvím Microsoft Exchange Server zranitelností ProxyLogon
IIS malware je různorodá skupina hrozeb využívaných pro kybernetický zločin, špionáž a SEO podvody (neboli podvody s výsledky vyhledávání v prohlížečích). Ve všech případech je hlavním cílem zachycení HTTP požadavků přicházejících na kompromitovaný IIS server a ovlivnění jeho reakcí na některé požadavky.
„Na webové servery Internet Information Services se zaměřili různí útočníci orientovaní na kyberkriminalitu a kybernetickou špionáž. Modulární architektura softwaru, navržena tak, aby poskytovala rozšiřitelnost webovým vývojářům, může být užitečným nástrojem pro útočníky,“ říká výzkumnice společnosti Eset, Zuzana Hromcová, která je i autorkou publikované studie.
ESET identifikoval pět hlavních režimů IIS malwaru:
- IIS backdoory, které umožňují operátorům ovládat napadený počítač s nainstalovaným IIS na dálku.
- IIS infostealery, které umožňují operátorům zachytit pravidelný přenos mezi napadeným serverem a jeho legitimními návštěvníky a ukrást například přihlašovací údaje či platební informace.
- IIS injektory, které upravují HTTP reakce odeslané legitimním návštěvníkům tak, aby sloužily útočníkům.
- IIS proxies, které dělají z napadeného serveru bez vědomí uživatele součást příkazové a řídicí infrastruktury pro jinou rodinu škodlivých kódů.
- IIS malware zaměřený na SEO (Search Engine Optimization, neboli optimalizace stránky pro vyhledávače) podvody, který upravuje obsah sloužící vyhledávači tak, aby manipuloval s řazením výsledků ve vyhledávacím algoritmu a zlepšoval hodnocení webových stránek útočníků.
„Je stále dost vzácné, aby se bezpečnostní software používal i na ochranu IIS serverů, což útočníkům usnadňuje dlouhodobé nepozorované fungování. To by mělo být znepokojující pro všechny seriózní webové portály, které chtějí chránit data svých návštěvníků včetně informací o ověření a platbách. Pozor by si měly dát i organizace, které používají aplikaci Outlook na webu, protože jsou závislé na IIS a mohly by být cílem špionáže,“ vysvětluje Hromcová.
Výzkumníci společnosti ESET doporučují několik opatření, které mohou pomoci zmírnit útoky na IIS server. Mezi ně patří používání jedinečných, silných hesel a vícefaktorová autentifikace na administraci serverů, aktualizace operačního systému, používání brány firewall pro webovou aplikaci či nasazení bezpečnostního řešení pro koncové stanice na server. Riziko sníží i pravidelná kontrola konfigurace IIS serveru s cílem ověřit, zda jsou všechny nainstalované rozšíření legitimní.
KOMENTÁŘE