Windows-internet-servere målrettes af en ny trusselsaktør, der fungerer “næsten fuldstændigt i hukommelsen”, ifølge en ny rapport fra Sygnia Incident Response-teamet.
Rapporten sagde, at den avancerede og vedvarende trusselsaktør – som de har kaldt “Praying Mantis” eller “TG1021” – for det meste brugte deserialiseringsangreb for at indlæse en helt ustabil, brugerdefineret malware-platform skræddersyet til Windows IIS-miljø.
“TG1021 bruger en skræddersyet malware-ramme, bygget op omkring en fælles kerne, skræddersyet til IIS-servere. Værktøjssættet er fuldstændigt ustabilt, reflekteret indlæst i en berørt maskins hukommelse og efterlader intet spor af inficerede mål,” forskere skrev.
“Trusselsaktøren benyttede den adgang, der blev leveret ved hjælp af IIS, til at udføre den ekstra aktivitet, herunder legitimationshøstning, rekognoscering og lateral bevægelse.”
I løbet af det sidste år er virksomhedens hændelsesresponshold blevet tvunget til at reagere på en række målrettede cyberindbrudsangreb rettet mod flere fremtrædende organisationer, som Sygnia ikke navngav.
“Praying Mantis” formåede at kompromittere deres netværk ved at udnytte internetvendte servere, og rapporten bemærker, at den observerede aktivitet antyder, at trusselsaktøren er meget fortrolig med Windows IIS-platformen og er udstyret med 0-dages udnyttelse.
“Kernekomponenten, der er indlæst på IIS-servere, der vender mod internettet, opfanger og håndterer enhver HTTP-anmodning, der modtages af serveren. TG1021 bruger også en ekstra snigende bagdør og flere post-udnyttelsesmoduler til at udføre netværksrekognoscering, hæve privilegier og bevæge sig lateralt inden for netværk , “forklarede rapporten.
“Aktivitetens natur og generelle modus-operandi antyder, at TG1021 er en erfaren snigende aktør, som er meget opmærksom på driftssikkerhed. Den malware, der bruges af TG1021, viser en betydelig indsats for at undgå afsløring, både ved aktiv at blande sig i logningsmekanismer og med succes undgå kommerciel EDR'er og ved stille at afvente indgående forbindelser snarere end at oprette forbindelse til en C2-kanal og kontinuerligt generere trafik. ”
Skuespillerne bag “Praying Mantis” var i stand til at fjerne alle disk-residente værktøjer efter at have brugt dem, hvilket effektivt opgav vedholdenhed i bytte for stealth.
Forskerne bemærkede, at skuespillernes teknikker ligner dem, der er nævnt i en rådgivning fra det australske cybersikkerhedscenter i juni 2020, der advarede om “Copy-paste compromises.”
Den australske meddelelse sagde, at angrebene blev lanceret af “sofistikeret statsstøttet aktør”, der repræsenterede “den mest betydningsfulde, koordinerede cybermålretning mod australske institutioner, som den australske regering nogensinde har observeret.”
En anden meddelelse sagde, at angreb var specifikt rettet mod australske regeringsinstitutioner og virksomheder.
“Skuespilleren udnyttede en række udnyttelser, der målretter mod servere til internetadgang for at få indledende adgang til målnetværk. Disse udnyttelser misbruger deserialiseringsmekanismer og kendte sårbarheder i webapplikationer og bruges til at udføre en sofistikeret hukommelsesindbygget malware, der fungerer som bagdør,” sagde Sygnia-rapporten.
“Trusselsaktøren bruger et arsenal af udnyttelser af webapplikationer og er ekspert i deres udførelse. Den hurtige og alsidige operation kombineret med den sofistikerede aktivitet efter udnyttelse antyder, at en avanceret og meget dygtig aktør gennemførte operationer. “
Trusselaktørerne udnytter flere sårbarheder til at udnytte angreb, herunder en 0-dages sårbarhed forbundet med en usikker implementering af deserialiseringsmekanismen inden for “Checkbox Survey” -webapplikationen.
De udnyttede også IIS-servere og standardvisningen deserialiseringsproces for at genvinde adgang til kompromitterede maskiner såvel som
“Denne teknik blev brugt af TG1021 for at flytte sideværts mellem IIS-servere i et miljø. En indledende IIS-server blev kompromitteret ved hjælp af en af de deserialiseringssårbarheder, der er anført ovenfor. Derfra var trusselsaktøren i stand til at gennemføre rekognosceringsaktiviteter på en målrettet ASP .NET-session angiver MSSQL-server og udfører udnyttelsen, “bemærkede rapporten.
Den tilføjede, at trusselsaktørerne også har udnyttet sårbarheder med Telerik-produkter, hvoraf nogle har svag kryptering.
Sygnia-forskere foreslog at rette alle sårbarheder i .NET-deserialisering, søge efter kendte kompromisindikatorer, scanne internet-vendte IIS-servere med et sæt Yara-regler og jage efter mistænkelig aktivitet i internet-vendte IIS-miljøer.
Sikkerhed
Kaseya ransomware angreb: Hvad du har brug for at vide Surfshark VPN anmeldelse: Det er billigt, men er det godt? De bedste browsere til privatlivets fred Cybersikkerhed 101: Beskyt dit privatliv De bedste antivirussoftware og -apps De bedste VPN'er til forretnings- og hjemmebrug De bedste sikkerhedsnøgler til 2FA Hvordan ofre, der betaler løsesum, tilskynder til flere angreb (ZDNet YouTube)
Relaterede emner :
Datastyringssikkerhed TV CXO-datacentre 