Windows-Internet-servrar riktas mot en ny hotaktör som fungerar “nästan helt i minnet”, enligt en ny rapport från Sygnia Incident Response-teamet.
Rapporten sa att den avancerade och ihållande hotaktören – som de har kallat “Praying Mantis” eller “TG1021” – mestadels använde deserialiseringsattacker för att ladda en helt flyktig, anpassad malware-plattform anpassad för Windows IIS-miljö.
“TG1021 använder en skräddarsydd ramverk för skadlig programvara, byggd kring en gemensam kärna, skräddarsydd för IIS-servrar. Verktygssatsen är helt flyktig, laddas reflekterande in i den drabbade maskinens minne och lämnar lite eller inget spår efter infekterade mål,” forskare skrev.
“Hotaktören utnyttjade den åtkomst som tillhandahölls med hjälp av IIS för att utföra den ytterligare aktiviteten, inklusive inhämtningsuppgifter, spaning och sidorörelse.”
Under det senaste året har företagets incidentteam tvingats svara på ett antal riktade cyberintrångsattacker riktade mot flera framstående organisationer som Sygnia inte namngav.
“Praying Mantis” lyckades äventyra deras nätverk. genom att utnyttja servrar som vänder sig mot internet, och rapporten noterar att den observerade aktiviteten antyder att hotaktören är mycket bekant med Windows IIS-plattformen och är utrustad med 0-dagars exploatering.
“Kärnkomponenten, laddad på Internet-vända IIS-servrar, fångar upp och hanterar alla HTTP-förfrågningar som tas emot av servern. TG1021 använder också en extra smyg bakdörr och flera moduler efter exploatering för att utföra nätverksrekognition, höja privilegier och flytta i sidled inom nätverk , “förklarade rapporten.
“Aktivitetens natur och allmänna modus-operandi tyder på att TG1021 är en erfaren smygande skådespelare, mycket medveten om driftsäkerhet. Den skadliga programvaran som används av TG1021 visar en betydande ansträngning för att undvika upptäckt, både genom att aktivt störa loggningsmekanismer och framgångsrikt undvika kommersiella EDR och genom att tyst vänta på inkommande anslutningar, snarare än att ansluta tillbaka till en C2-kanal och generera kontinuerligt trafik. ”
Skådespelarna bakom “Praying Mantis” kunde ta bort alla diskbaserade verktyg efter att ha använt dem och effektivt ge upp på uthållighet i utbyte mot smyg.
Forskarna konstaterade att skådespelarnas tekniker liknar de som nämns i ett råd från juni 2020 från Australian Cyber Security Center, som varnade för “Copy-paste-kompromisser.”
Det australiska meddelandet sade att attackerna lanserades av “sofistikerad statssponserad skådespelare” som representerade “den mest betydelsefulla, samordnade cyberinriktningen mot australiska institutioner som den australiska regeringen någonsin har observerat.”
Ett annat meddelande säger att attacker riktades specifikt mot australiensiska statliga institutioner och företag.
“Skådespelaren utnyttjade en mängd olika exploater som riktar sig mot internet-servrar för att få inledande åtkomst till målnätverk. Dessa utnyttjar missbruk av deserialiseringsmekanismer och kända sårbarheter i webbapplikationer och används för att utföra en sofistikerad minnesbaserad skadlig kod som fungerar som en bakdörr,” enligt Sygnia-rapporten.
“Hotskådespelaren använder en arsenal av webbapplikationsutnyttjande och är expert på deras genomförande. Snabbheten och mångsidigheten i operationen i kombination med den sofistikerade verksamheten efter exploateringen antyder att en avancerad och mycket skicklig skådespelare genomförde operationer. “
Hotaktörerna utnyttjar flera sårbarheter för att utnyttja attacker, inklusive en 0-dagars sårbarhet förknippad med en osäker implementering av deserialiseringsmekanismen i webbapplikationen “Checkbox Survey”.
De utnyttjade också IIS-servrar och standarden VIEWSTATE. deserialiseringsprocess för att återfå åtkomst till komprometterade maskiner liksom
“Denna teknik användes av TG1021 för att flytta i sidled mellan IIS-servrar i en miljö. En första IIS-server komprometterades med en av de deserialiseringsproblem som anges ovan. Därifrån kunde hotaktören genomföra rekognoseringsaktiviteter på en riktad ASP .NET-session anger MSSQL-server och utför exploateringen, “noterade rapporten.
Den tillade att hotaktörerna också har utnyttjat sårbarheter med Telerik-produkter, varav några har svag kryptering.
Sygnia-forskare föreslog att alla sårbarheter i .NET-deserialisering skulle korrigeras, sökande efter kända indikatorer på kompromiss, skanning av Internet-vända IIS-servrar med en uppsättning Yara-regler och jakt på misstänkt aktivitet i Internet-vända IIS-miljöer.
Säkerhet
Kaseya ransomware attack: Vad du behöver veta Surfshark VPN recension: Det är billigt, men är det bra? De bästa webbläsarna för integritet Cybersäkerhet 101: Skydda din integritet De bästa antivirusprogrammen och apparna De bästa VPN-tjänsterna för företag och hemanvändning De bästa säkerhetsnycklarna för 2FA Hur offer som betalar lösen uppmuntrar fler attacker (ZDNet YouTube)
Relaterade ämnen :
Säkerhet för datahantering TV CXO-datacenter 