IIS-расширения стали популярным вектором установки бэкдора на веб-серверы

Екатерина Быстрова 27 Июля 2022 - 11:56

Малый и средний бизнес

...

Microsoft предупреждает о кибератаках, в которых злоумышленники используют вредоносные расширения Internet Information Services (IIS) для установки бэкдора на непропатченные Exchange-серверы. Выбор хакеров обусловлен тем, что IIS детектируются реже, чем веб-шеллы.

Таким образом, злоумышленники получают отличный вектор закрепления в системе, поскольку IIS спрятаны глубоко в скомпрометированных серверах, а это значит, что их достаточно сложно детектировать.

«В большинстве случаев активность самого бэкдора минимальна и не может считаться вредоносной без четкого понимания того, как работают легитимные IIS-расширения. Это затрудняет вычисление источника заражения», — пишут специалисты Microsoft 365 Defender Research Team.

В целом киберпреступники достаточно редко разворачивают подобные вредоносные расширения после компрометации сервера. Для такого, как правило, используются эксплойты, пробивающие незакрытые дыры в веб-приложении. Обычно атакующие задействуют IIS после установки веб-шелла в качестве первого пейлоада в атаке.

Ранее специалисты Microsoft уже сталкивались с кастомными IIS-бэкдорами, установленными после эксплуатации уязвимостей в ZOHO ManageEngine ADSelfService Plus и SolarWinds Orion.

Вредоносные IIS-модули позволяют злоумышленникам извлекать учетные данные из системной памяти, а также собирать информацию о сети и устройстве жертвы. Кроме того, этот вектор можно использовать для доставки дополнительных пейлоадов.

«После стадии разведки, извлечения учетных данных и установки удаленного доступа атакующие развернули кастомный IIS-бэкдор FinanceSvcModel.dll в директории C:\inetpub\wwwroot\bin\. У бэкдора есть встроенные функции, позволяющие управлять Exchange», — описывает одну из подобных кампаний Microsoft.

Следующая главная новость »

ИБ без ручного режима: как автоматизировать защиту в 2026?
Регистрируйтесь на эфир!

Екатерина Быстрова 26 Мая 2026 - 11:02

Трояны Домашние пользователи Персональный VPN Анонимайзеры

Бесплатный VPN оказался банковским трояном: МВД предупредило о новой схеме

МВД предупредило о новом бесплатном VPN, который на деле оказался совсем не сервисом для приватного доступа в интернет, а банковским трояном с неприятным бонусом в виде загрузчика вредоносных модулей. Схема классическая: пользователь ищет VPN, ставит приложение из стороннего источника, а дальше вместо свободы в Сети получает на устройство зловред.

После установки приложение может получить доступ к СМС, пуш-уведомлениям, данным банковских приложений и загружать на гаджет другие вредоносные модули без ведома пользователя.

В управлении МВД по борьбе с противоправным использованием информационно-коммуникационных технологий напомнили, что бесплатные VPN из сторонних источников регулярно используют как канал распространения вредоносных программ.

Пользователям советуют устанавливать приложения только из официальных магазинов, хотя и это, как уточняют в ведомстве, не даёт стопроцентной гарантии безопасности.

Главная опасность таких приложений в том, что они просят доверия под видом полезного инструмента. Человек думает, что ставит VPN, а по факту сам открывает дверь приложению, которое может читать коды из СМС, перехватывать уведомления и интересоваться банковскими данными.

История не новая, но всё ещё рабочая: слово «бесплатно» отлично продаёт даже откровенно подозрительный APK. Поэтому правило простое: если VPN найден не в официальном магазине, просит странные разрешения и выглядит как подарок судьбы — скорее всего, подарок там не вам, а мошенникам.

ИБ без ручного режима: как автоматизировать защиту в 2026?
Регистрируйтесь на эфир!