Nieuwe IIS-webserverbedreigingen die overheden afluisteren en zich op e-commercetransacties richten, door ESET Research ontdekt
ESET Research heeft tien nog niet gedocumenteerde malwarefamilies ontdekt, die geïmplementeerd worden als kwaadaardige uitbreidingen van de Internet Information Services (IIS) webserversoftware. Deze groep bedreigingen richt zich zowel op overheidsmailboxen als op e-commerce creditcardtransacties, terwijl de verspreiding van malware wordt vergemakkelijkt. Volgens ESET-telemetrie en de resultaten van aanvullende internetscans uitgevoerd door ESET-onderzoekers om de mogelijke aanwezigheid van backdoors te detecteren, zijn in 2021 minstens vijf IIS-backdoors verspreid door het misbruiken van Microsoft Exchange-mailservers.
Onder de slachtoffers zijn regeringen in Zuidoost-Azië en heel wat bedrijven uit verschillende industriesectoren, voornamelijk gevestigd in Canada, Vietnam, India, alsook de Verenigde Staten, Nieuw-Zeeland, Zuid-Korea en andere landen.
Vandaag publiceert ESET Research het witboek “Anatomy of Native IIS Malware” en lanceert het een reeks blogs over de belangrijkste bedreigingen die zojuist ontdekt werden: IIStealer, IISpy en IISerpent. De blogs worden vanaf vandaag tot 11 augustus 2021 op www.WeLiveSecurity gepubliceerd. De resultaten van ESET’s IIS-malwareonderzoek werden voor het eerst gepresenteerd op Black Hat USA 2021 en worden met de gemeenschap gedeeld op de Virus Bulletin-conferentie van 8 oktober 2021.
De malware is een diverse groep van cybercriminaliteit, cyberspionage en SEO-fraudebedreigingen, maar zijn hoofddoel is het onderscheppen van HTTP-verzoeken die naar gecompromitteerde IIS-servers gaan en het beïnvloeden van de serverreacties op (sommige van) deze verzoeken. “IIS-webservers waren het doelwit van verschillende kwaadwillende actoren, zowel voor cybercriminaliteit als cyberspionage. De modulaire architectuur van de software, ontworpen om webontwikkelaars meer uitbreidbaarheid te bieden, is een handig hulpmiddel voor aanvallers”, zegt Zuzana Hromcová, onderzoekster bij ESET, auteur van het artikel.
Voor IIS-malware identificeerde ESET vijf hoofdwerkwijzen:
• IIS-backdoors stellen hun operatoren in staat om op afstand de server te besturen waarop IIS is geïnstalleerd
• IIS-infostealers stellen hun operatoren in staat om regelmatig verkeer tussen de gecompromitteerde server en zijn legitieme bezoekers te onderscheppen en informatie te stelen zoals inlog- en betalingsgegevens
• IIS-injectoren wijzigen HTTP-reacties die naar legitieme bezoekers worden verzonden om kwaadaardige inhoud te leveren
• IIS-proxy’s maken van de gecompromitteerde server een onbewust onderdeel van de commando- en controle-infrastructuur voor een andere malwarefamilie.
• IIS-malware SEO-fraude wijzigt de inhoud die aan zoekmachines wordt geleverd om SERP-algoritmen te manipuleren en de rangschikking te verbeteren van andere websites die van belang zijn voor de aanvallers.
“Het komt zelden voor dat beveiligingssoftware op IIS-servers draait. Hierdoor kunnen aanvallers lange tijd onopgemerkt aan de slag. Dit zou een probleem moeten zijn voor alle serieuze webportals die de gegevens van hun bezoekers willen beschermen, inclusief betalings- en authenticatie-informatie. Organisaties die Outlook op het web gebruiken, moeten voorzichtig zijn omdat het afhankelijk is van IIS en dus een aantrekkelijk spionagedoel kan zijn’, aldus Hromcová.
ESET Research biedt verschillende aanbevelingen om IIS-malware-aanvallen te verminderen. Dit zijn o.a. het gebruik van unieke en sterke wachtwoorden en multifactor authenticatie voor het beheer van IIS-servers; het besturingssysteem up-to-date houden; een webfirewall en endpoint security-oplossing voor de server gebruiken; regelmatig de configuratie van de IIS-server controleren om zeker te zijn dat alle geïnstalleerde extensies legitiem zijn.
Naast het witboek zal ESET kortere blogs uit het boek van 6 tot 11 augustus 2021 publiceren:
• Anatomy of Native IIS Malware (6 augustus 17.00 uur CEST) – een diepgaand witboek gepubliceerd met een samenvatting van de blogpost.
• IIStealer: een server-side bedreiging voor e-commercetransacties (6 augustus 17.00 uur CEST) – een blog die een kwaadaardige (trojan) IIS-extensie onderzoekt die servertransacties onderschept om creditcardgegevens te stelen.
• IISpy: server-side, een complexe backdoor met illegale functies (9 augustus om 11.30 uur CEST): een blog over een kwaadaardige IIS-extensie (backdoor) in staat om op lange termijn spionage op gecompromitteerde servers te beveiligen.
• IISerpent: SEO as a Service Malware-fraude (11 augustus 11:30 uur CEST): een blog die een kwaadaardige extensie beschrijft (server-side trojan) die gebruikt wordt om de paginarangschikking van een website van derden te manipuleren.
Lees, voor meer technische details over deze IIS-bedreigingen, de inleidende blog “Anatomy of Native IIS Malware” en het witboek op www.WeLiveSecurity . Van 6 t/m 11 augustus zijn er ook de vervolgblogs over IIStealer, IISpy en IISerpent. Volg ESET Research ook op Twitter voor het laatste nieuws over ESET Research.
Native IIS backdoors-slachtoffers die zich verspreiden via de Microsoft Exchange Server ProxyLogon-kwetsbaarheidsketen
Overzicht van IIS-malwaremechanismen
Dit artikel is geschreven door één van onze partners. Onze redactie is niet verantwoordelijk voor de inhoud.