Бэкдор IISpy идет после серверов Microsoft IIS
IISpy Backdoor - опасный троян, нацеленный на конкретную службу Windows - Internet Information Services (IIS). Целью вредоносного ПО является разведка и шпионаж. Вот почему он фокусируется на задачах, которые позволят ему избежать обнаружения и сохраниться как можно дольше. По мнению экспертов, первые образцы IISpy Backdoor датируются июлем 2020 года, поэтому похоже, что этот троянец используется уже более года. Преступники полагаются на широкий спектр эксплойтов и инструментов повышения привилегий, чтобы дать имплантату возможность манипулировать настройками Windows.
Что удивительно в бэкдоре, так это то, что он работает как расширение для серверов IIS. Это может сделать обнаружение еще более трудным. Более того, это показывает, что авторы IISpy Backdoor хорошо знакомы с функциональностью и производительностью Windows Internet Information Services.
Что делает бэкдор IISpy?
Поскольку он работает как расширение для IIS, IISpy Backdoor может легко шпионить за HTTP-трафиком и смешивать собственное взаимодействие с законными сетевыми запросами. Это затрудняет обнаружение, если жертва не использует соответствующие инструменты сетевого мониторинга для захвата теневых соединений. После того, как бэкдор успешно скомпрометирует сервер, его операторы получают возможность выполнять следующие задачи:
- Получать сведения об аппаратном и программном обеспечении жертвы.
- Загрузите или загрузите файлы.
- Выполнять файлы и удаленные команды.
- Откройте обратную оболочку.
- Управляйте файлами и папками на зараженной машине.
- Эксфильтровать файлы.
Как правило, вредоносные программы IIS гораздо более любопытны, когда дело касается связи с удаленным сервером или перехвата данных. Они полагаются на определенные заголовки HTTP или специальные пароли и ключи для выполнения таких задач, как удаленное выполнение кода. IISpy Backdoor, однако, использует более продвинутую технику, которая значительно усложняет идентификацию опасных пакетов.
Пока недостаточно информации для определения векторов заражения, используемых для доставки IISpy Backdoor. Более того, исследователи не смогли связать какую-либо группу угроз с этой кампанией. Атаки, подобные рассматриваемой, можно предотвратить, используя надлежащие протоколы сетевой безопасности, политики и антивирусное программное обеспечение.