Các nhóm hacker đang xâm nhập máy chủ Windows IIS để thêm các trang thông báo hết hạn chứng chỉ nhằm lừa người dùng tải xuống chương trình cài đặt giả mạo có chứa mã độc.
Dịch vụ thông tin Internet (IIS) là phần mềm máy chủ web có sẵn trong tất cả các phiên bản Windows kể từ Windows 2000, XP và Server 2003.
Theo quan sát của các nhà nghiên cứu bảo mật Malwarebytes Threat Intelligence, phần mềm độc hại được cài đặt thông qua chương trình cài đặt cập nhật giả mạo [VirusTotal].
Giao diện trang cảnh báo giả mạo
Mã độc trên các hệ thống bị nhiễm là TVRAT (hay TVSPY, TeamSpy, TeamViewerENT hoặc Team Viewer RAT), được thiết kế để cung cấp cho các hacker có thể toàn quyền truy cập từ xa vào các máy chủ bị nhiễm mã độc.
Sau khi thiết bị bị nhiễm mã độc, phần mềm độc hại sẽ âm thầm cài đặt và khởi chạy một phiên bản của phần mềm điều khiển từ xa TeamViewer.
Sau khi được khởi chạy, máy chủ TeamViewer sẽ phản hồi với máy chủ điều khiển (C&C) để thông báo cho kẻ tấn công biết rằng chúng có thể kiểm soát từ xa máy nạn nhân.
TVRAT xuất hiện lần đầu tiên vào năm 2013 khi nó được dùng trong các chiến dịch spam email dưới dạng tệp đính kèm độc hại để lừa mục tiêu bật macro Office.
Máy chủ IIS thường xuyên bị nhắm mục tiêu
Những kẻ tấn công có thể sử dụng nhiều cách khác nhau để xâm phạm máy chủ Windows IIS.
Ví dụ như dùng mã khai thác của một lỗ hổng nghiêm trọng trong HTTP Protocol Stack (HTTP.sys) được sử dụng trong máy chủ Windows IIS đã được công khai vào tháng 5.
Lỗ hổng có mã CVE-2021-31166, ảnh hưởng đến phiên bản Windows 10 2004/20H2 và Windows Server 2004/20H2, đã được Microsoft phát hành bản vá trong Bản cập nhật bảo mật hàng tháng của tháng 5.
Các nhóm hacker do nhà nước bảo trợ cũng đã tận dụng nhiều cách khai thác khác để xâm phạm các máy chủ IIS công khai trên internet.
Theo một báo cáo tháng 8 từ công ty bảo mật Sygnia của Israel, gần đây nhất, một nhóm APT được theo dõi với tên là Praying Mantis hoặc TG1021, đã nhắm mục tiêu vào các máy chủ web Microsoft IIS.
Praying Mantis đã khai thác các lỗ hổng Checkbox Survey RCE (CVE-2021-27852), VIEWSTATE Deserialization và Altserialization Insecure Deserialization, Telerik-UI Exploit (CVE-2019-18935, CVE-2017-11317) trong các cuộc tấn công vào máy chủ IIS.
Sau đó, họ sử dụng quyền truy cập vào các máy chủ IIS bị tấn công để thực hiện các hành vi độc hại khác như đánh cắp thông tin xác thực, do thám và xâm nhập vào mạng của mục tiêu.
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | Các tổ chức thực thi pháp luật của Europol, Ý và Tây Ban Nha đã phối hợp để bắt giữ 106 thành viên nhóm mafia ở Ý vì vi phạm các tội danh liên quan đến tội phạm mạng và rửa tiền.
Tín nhiệm mạng | 'Watchful IP' đã cảnh báo về một lỗ hổng zero-click trong trong một số sản phẩm của Hikvision, cho phép kẻ tấn công thực thi mã từ xa mà không cần xác thực.
Tín nhiệm mạng | Nhà nghiên cứu bảo mật người Tây Ban Nha, Jose Rodriguez đã tiết lộ cách vượt qua màn hình khóa của iPhone cho phép Kẻ tấn công truy cập vào ứng dụng ghi chú của người dùng và thực hiện nhiều hành vi khác.
Tín nhiệm mạng | Google đã thông báo rằng tính năng bảo vệ quyền riêng tư của Android mới được phát hành gần đây sẽ được triển khai cho hàng tỷ thiết bị chạy các phiên bản Android vào cuối năm nay.
Tín nhiệm mạng | Nhóm Hacker Anonymous đã xâm nhập và đánh cắp cơ sở dữ liệu của Epik, một nhà cung cấp dịch vụ lưu trữ web và đăng ký tên miền cho nhiều trang web
Tín nhiệm mạng | FBI đang cảnh báo về xu hướng gia tăng đột biến của các vụ lừa đảo tình cảm trực tuyến trong năm nay đã khiến người Mỹ thiệt hại hơn 113 triệu đô la kể từ đầu năm 2021.