Азия под угрозой!

⏺️ Вирус UAT-8099, связанный с Китаем, атакует серверы IIS в Азии с помощью вредоносного ПО BadIIS SEO.

🧾 Обнаруженная с помощью Cisco Talos активность была направлена ​​на уязвимые серверы Internet Information Services (IIS), расположенные по всей Азии, но с особым акцентом на цели в Таиланде и Вьетнаме. Масштабы кампании в настоящее время неизвестны.

🎇 «UAT-8099 использует веб-оболочки и PowerShell для выполнения скриптов и развертывания инструмента GotoHTTP, предоставляя злоумышленнику удаленный доступ к уязвимым серверам IIS», — заявил исследователь безопасности Джои Чен

⛓️‍💥 Цепочка атак начинается с того, что UAT-8099 получает первоначальный доступ к серверу IIS, как правило, используя уязвимость безопасности или слабые настройки в функции загрузки файлов веб-сервера. Затем злоумышленник инициирует ряд шагов для развертывания вредоносных полезных нагрузок:

➡️ Выполнение команды обнаружения и разведки для сбора информации о системе.
➡️ Разворачивание VPN-инструментов и обеспечение постоянный доступ, создав скрытую учетную запись пользователя с именем "admin$".
➡️ Внедрение новых инструментов, такие как Sharp4RemoveLog (удаление журналов событий Windows), CnCrypt Protect (скрытие вредоносных файлов), OpenArk64 (антируткит с открытым исходным кодом для завершения процессов продуктов безопасности) и GotoHTTP (удаленное управление сервером).
➡️ Разворачивание вредоносного ПО BadIIS, используя только что созданную учетную запись.

🔎 Компания Cisco Talos сообщила об обнаружении трех различных вариантов в кластере BadIIS asdSearchEngine:

➡️ Эксклюзивный вариант с несколькими расширениями, который проверяет путь к файлу в запросе и игнорирует его, если он содержит расширение из списка исключений, которое может быть ресурсоемким или препятствовать отображению веб-сайта.
➡️ Вариант «Загрузка HTML-шаблонов» содержит систему генерации HTML-шаблонов для динамического создания веб-контента путем загрузки шаблонов с диска или использования встроенных резервных вариантов и замены заполнителей случайными данными, датами и содержимым, полученным из URL-адресов.
➡️ Вариант проверки соответствия запрошенного пути динамическому расширению страницы или индексу каталога, который проверяет, соответствует ли запрошенный путь динамическому расширению страницы или индексу каталога.

❗️ На данный момент не зафиксированы случаи атаки в РФ, но будьте внимательны!

#apt #iis #attack

🔗 Все наши каналы 🔁 Все наши чаты 🪧 Для связи с менеджером