Хотите всегда оставаться в курсе событий? Подписывайтесь на @cryptochan и получайте новости в нашем Telegram канале.
×
Расширения IIS все чаще используются в качестве бэкдоров Exchange
Microsoft заявляет, что злоумышленники все чаще используют вредоносные расширения веб-серверов Internet Information Services (IIS) для обхода непропатченных серверов Exchange, поскольку их труднее обнаружить по сравнению с веб-шеллами. Вредоносные расширения спрятаны глубоко внутри скомпрометированных серверов и их очень сложно обнаружить. При установке в правильном месте и использовании той же структуры, что и легитимные модули, расширения предоставляют киберпреступнику совершенный и надежный механизм сохраняемости. Обычно вредоносные расширения запускаются после развертывания веб-шелла в качестве первой полезной нагрузки в атаке. Модуль IIS развертывается позже, чтобы обеспечить незаметный и устойчивый к обновлениям доступ к взломанному серверу. После развертывания вредоносные модули IIS позволяют злоумышленнику извлекать учетные данные из системной памяти, собирать информацию из сети жертв и доставлять дополнительные полезные нагрузки. В период с января по май 2022 года в ходе атаки на серверы Microsoft Exchange злоумышленники развернули вредоносные расширения IIS, чтобы получить доступ к почтовым ящикам электронной почты жертв, удаленно выполнять команды и украсть конфиденциальные данные. Согласно отчету Microsoft , после разведки, сброса учетных данных и установления метода удаленного доступа киберпреступники использовали специальный бэкдор IIS «FinanceSvcModel.dll», который мог выполнять операции управления Exchange, такие как перечисление установленных учетных записей почтовых ящиков и экспорт почтовых ящиков для эксфильтрации. По словам Microsoft, модули IIS не являются распространенным форматом для бэкдоров, особенно по сравнению с типичными угрозами веб-приложений, такими как веб-оболочки, и поэтому их легко пропустить при стандартном мониторинге файлов. Для защиты от атак с использованием вредоносных модулей IIS корпорация Майкрософт рекомендует клиентам принять следующие меры: поддерживать актуальность своих серверов Exchange; поддерживать включенными антивирусные программы; проверять конфиденциальные роли и группы; ограничивать доступ к виртуальным каталогам IIS; устанавливать приоритет предупреждений; проверять файлы конфигурации и bin-папки. Ранее сообщалось, что злоумышленник атаковал серверы Microsoft Exchange , принадлежащие правительственным и военным организациям Европы, Ближнего Востока, Азии и Африки. Бэкдор SessionManager позволил хакеру сохранять постоянный и скрытый доступ к IT-инфраструктуре организации.
Похожие новости
- 10 Авг, 01:45
Mercado Libre расширит криптотрейдинг по всей Латинской Америке
Mercado Libre, крупнейшая компания электронной коммерции в Латинской Америке по рыночной стоимости, планирует расширить свою функцию криптотрейдинга по всему региону после успешного старта в Бразилии. В декабре пользователям Mercado Pago, цифрового к...
Cегодня
-
15:14 Джаспер Де Мэр: «Жителей Евросоюза ждут ограничения использования стейблкоинов»
-
14:50 Виталик Бутерин назвал блокчейн защитой от авторитарных режимов
-
13:25 В РФ запланировали создать платформу для расчетов в цифровых рублях
-
13:02 Binance заблокировала 297 «сибилов» в программе Megadrop
-
12:08 Ирина Хивер: «В ОАЭ собираются запретить криптовалютные платежи»
-
10:36 Ожидается прорыв Toncoin выше $8
-
09:15 Strike расширяет сервисы Bitcoin и Lightning на Великобританию
-
08:44 Инфляция Ethereum: 73 дня непрерывного роста предложения