Хакеры распространяют вредонос TVRAT через взломанные серверы Windows ISS

[Artifact]

Хакеры устанавливают вредонос через поддельные уведомления об истекшем сроке действия сертификата.

Злоумышленники взламывают серверы Windows Internet Information Services (IIS) и внедряют страницы с уведомлением об истекшем сертификате, предлагающим установить ПО, которое на деле является установщиком вредоносной программы. Вредоносная программа автоматически устанавливает и запускает программу удаленного управления TeamViewer. После запуска сервер TeamViewer связывается с C&C-сервером злоумышленников.
«Обнаружена потенциальная угроза безопасности и не продлен переход на [имя сайта]. Обновление сертификата безопасности может позволить установить это соединение. NET :: ERR_CERT_OUT_OF_DATE», — сообщается в уведомлении на страницах.
Как отметили исследователи в области кибербезопасности из Malwarebytes Threat Intelligence, ​​с помощью поддельного установщика обновлений, подписанного сертификатом Digicert, на компьютер жертвы устанавливается вредоносная программа TVRAT (также известная как TVSPY, TeamSpy, TeamViewerENT или Team Viewer RAT). Вредонос предоставляет операторам полный удаленный доступ к зараженным узлам.
По словам экспертов, злоумышленники могут использовать различные способы взлома серверов Windows IIS. Например, PoC-код для эксплуатации критической червеобразной уязвимости ( CVE-2021-31166 ) в HTTP Protocol Stack (HTTP.sys), используемом web-сервером Windows IIS, был опубликован в мае нынешнего года. Microsoft исправила проблему и заявила, что она затрагивает только версии Windows 10 2004/ 20H2 и Windows Server 2004/20H2.
APT-группировка Praying Mantis (также известная как TG1021) в своих атаках использовала уязвимость удаленного выполнения кода в Checkbox Survey ( CVE-2021-27852 ), уязвимости незащищенной десериализации и альтернативной сериализации в VIEWSTATE, а также уязвимости в Telerik-UI (CVE-2019-18935 и CVE-2017-11317 ).
Как ранее писал SecurityLab, в Сети обнаружено более двух миллионов web-серверов, работающих на устаревших и более не поддерживаемых версиях IIS. Microsoft IIS является третьим по популярности web-сервером в мире, на базе которого работает свыше 50 млн интернет-сайтов. Рыночная доля IIS составляет более 12%.