🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Măng Cành, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 CỔNG THÔNG TIN ĐIỆN TỬ XÃ ĐẠ ĐỜN đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ Ban Nhân Dân Thị Trấn Chợ Rã đã đăng ký tín nhiệm. 🔥                   

Sử dụng các cảnh báo giả mạo để tấn công người dùng

22/09/2021

Các nhóm hacker đang xâm nhập máy chủ Windows IIS để thêm các trang thông báo hết hạn chứng chỉ nhằm lừa người dùng tải xuống chương trình cài đặt giả mạo có chứa mã độc.

Dịch vụ thông tin Internet (IIS) là phần mềm máy chủ web có sẵn trong tất cả các phiên bản Windows kể từ Windows 2000, XP và Server 2003.

Theo quan sát của các nhà nghiên cứu bảo mật Malwarebytes Threat Intelligence, phần mềm độc hại được cài đặt thông qua chương trình cài đặt cập nhật giả mạo [VirusTotal].

Giao diện trang cảnh báo giả mạo

Mã độc trên các hệ thống bị nhiễm là TVRAT (hay TVSPY, TeamSpy, TeamViewerENT hoặc Team Viewer RAT), được thiết kế để cung cấp cho các hacker có thể toàn quyền truy cập từ xa vào các máy chủ bị nhiễm mã độc.

Sau khi thiết bị bị nhiễm mã độc, phần mềm độc hại sẽ âm thầm cài đặt và khởi chạy một phiên bản của phần mềm điều khiển từ xa TeamViewer.

Sau khi được khởi chạy, máy chủ TeamViewer sẽ phản hồi với máy chủ điều khiển (C&C) để thông báo cho kẻ tấn công biết rằng chúng có thể kiểm soát từ xa máy nạn nhân.

TVRAT xuất hiện lần đầu tiên vào năm 2013 khi nó được dùng trong các chiến dịch spam email dưới dạng tệp đính kèm độc hại để lừa mục tiêu bật macro Office.

Máy chủ IIS thường xuyên bị nhắm mục tiêu

Những kẻ tấn công có thể sử dụng nhiều cách khác nhau để xâm phạm máy chủ Windows IIS.

Ví dụ như dùng mã khai thác của một lỗ hổng nghiêm trọng trong HTTP Protocol Stack (HTTP.sys) được sử dụng trong máy chủ Windows IIS đã được công khai vào tháng 5.

Lỗ hổng có mã CVE-2021-31166, ảnh hưởng đến phiên bản Windows 10 2004/20H2 và Windows Server 2004/20H2, đã được Microsoft phát hành bản vá trong Bản cập nhật bảo mật hàng tháng của tháng 5.

Các nhóm hacker do nhà nước bảo trợ cũng đã tận dụng nhiều cách khai thác khác để xâm phạm các máy chủ IIS công khai trên internet.

Theo một báo cáo tháng 8 từ công ty bảo mật Sygnia của Israel, gần đây nhất, một nhóm APT được theo dõi với tên là Praying Mantis hoặc TG1021, đã nhắm mục tiêu vào các máy chủ web Microsoft IIS.

Praying Mantis đã khai thác các lỗ hổng Checkbox Survey RCE (CVE-2021-27852), VIEWSTATE Deserialization và Altserialization Insecure Deserialization, Telerik-UI Exploit (CVE-2019-18935, CVE-2017-11317) trong các cuộc tấn công vào máy chủ IIS.

Sau đó, họ sử dụng quyền truy cập vào các máy chủ IIS bị tấn công để thực hiện các hành vi độc hại khác như đánh cắp thông tin xác thực, do thám và xâm nhập vào mạng của mục tiêu.

Nguồn: bleepingcomputer.com.

scrolltop