Хотите всегда оставаться в курсе событий? Подписывайтесь на @cryptochan и получайте новости в нашем Telegram канале.
×
Расширения IIS все чаще используются в качестве бэкдоров Exchange
Microsoft заявляет, что злоумышленники все чаще используют вредоносные расширения веб-серверов Internet Information Services (IIS) для обхода непропатченных серверов Exchange, поскольку их труднее обнаружить по сравнению с веб-шеллами. Вредоносные расширения спрятаны глубоко внутри скомпрометированных серверов и их очень сложно обнаружить. При установке в правильном месте и использовании той же структуры, что и легитимные модули, расширения предоставляют киберпреступнику совершенный и надежный механизм сохраняемости. Обычно вредоносные расширения запускаются после развертывания веб-шелла в качестве первой полезной нагрузки в атаке. Модуль IIS развертывается позже, чтобы обеспечить незаметный и устойчивый к обновлениям доступ к взломанному серверу. После развертывания вредоносные модули IIS позволяют злоумышленнику извлекать учетные данные из системной памяти, собирать информацию из сети жертв и доставлять дополнительные полезные нагрузки. В период с января по май 2022 года в ходе атаки на серверы Microsoft Exchange злоумышленники развернули вредоносные расширения IIS, чтобы получить доступ к почтовым ящикам электронной почты жертв, удаленно выполнять команды и украсть конфиденциальные данные. Согласно отчету Microsoft , после разведки, сброса учетных данных и установления метода удаленного доступа киберпреступники использовали специальный бэкдор IIS «FinanceSvcModel.dll», который мог выполнять операции управления Exchange, такие как перечисление установленных учетных записей почтовых ящиков и экспорт почтовых ящиков для эксфильтрации. По словам Microsoft, модули IIS не являются распространенным форматом для бэкдоров, особенно по сравнению с типичными угрозами веб-приложений, такими как веб-оболочки, и поэтому их легко пропустить при стандартном мониторинге файлов. Для защиты от атак с использованием вредоносных модулей IIS корпорация Майкрософт рекомендует клиентам принять следующие меры: поддерживать актуальность своих серверов Exchange; поддерживать включенными антивирусные программы; проверять конфиденциальные роли и группы; ограничивать доступ к виртуальным каталогам IIS; устанавливать приоритет предупреждений; проверять файлы конфигурации и bin-папки. Ранее сообщалось, что злоумышленник атаковал серверы Microsoft Exchange , принадлежащие правительственным и военным организациям Европы, Ближнего Востока, Азии и Африки. Бэкдор SessionManager позволил хакеру сохранять постоянный и скрытый доступ к IT-инфраструктуре организации.
Похожие новости
- 10 Авг, 01:45
Mercado Libre расширит криптотрейдинг по всей Латинской Америке
Mercado Libre, крупнейшая компания электронной коммерции в Латинской Америке по рыночной стоимости, планирует расширить свою функцию криптотрейдинга по всему региону после успешного старта в Бразилии. В декабре пользователям Mercado Pago, цифрового к...
Cегодня
- 13:00 В США судят мошенников, похитивших криптовалюты на $25 млн за 12 секунд
- 12:57 Нескольких валидаторов Solana исключили за участие в «сэндвич-атаках»
- 12:36 За три месяца в ceктop cтeйблкoинoв пocтупили cpeдcтвa нa $16 млpд
- 12:31 Студент арестован на 10 суток за продажу Notcoin: его смартфон уничтожили
- 12:23 За день заработал на токенах-мемах $2,5 млрд
- 12:17 Мемная монета BRETT выросла на 100% за неделю
- 11:10 Alibaba выпустила новую ИИ-модель Qwen2
- 10:38 HSBC China открыл корпоративным клиентам доступ к цифровому юаню
В мире за неделю
-
10 Июн, 08:25+7 FSC Южной Кореи представила правила регулирования NFT
-
9 Июн, 21:01+4 Биткоин в 2024 году вырос на 70% благодаря притоку институционального капитала
-
9 Июн, 16:27+9 Notcoin сжигание, стейкинг и launchpad. Все твои токены сгорят? / Криптовалюты, NFT и финансы
-
7 Июн, 08:49+4 Подаренные Дурову монеты NOT выросли в 4 раза в цене
-
6 Июн, 02:30+4 ФБР предупреждает о мошенничествах с криптовалютой на фальшивых работах из дома