Posté le août 5, 2021 à 14:44

DÉCOUVERTE DE 10 NOUVELLES VARIANTES DE LOGICIELS MALVEILLANTS CIBLANT LES SERVEURS WEB IIS DE MICROSOFT

Des chercheurs ont découvert 10 logiciels malveillants récents parmi 14 familles de logiciels malveillants qui attaquent les serveurs IIS (Internet Information Services) de Microsoft.

Les chercheurs ont collecté plus de 80 échantillons de logiciels malveillants et les ont regroupés en 14 familles uniques. La plupart des échantillons de logiciels malveillants sont toujours en cours de développement actif et ont été initialement détectés entre 2018 et 2021. Cela signifie que certaines des variantes de logiciels malveillants se sont dupliquées ou ont amélioré leur efficacité d’attaque depuis leur détection.

Bien que les 14 variantes de logiciels malveillants ne soient probablement pas liées, elles présentaient une ressemblance dans leurs cibles. Ils ont tous été conçus comme des modules IIS natifs malveillants.

Les familles de logiciels malveillants possèdent cinq modules opérationnels

Le cœur de cible ou l’objectif de la plupart des variantes de logiciels malveillants consiste à traiter les requêtes HTTP adressées au serveur infiltré. Il a également le contrôle sur la façon dont le serveur affecté répond aux demandes.

Selon les chercheurs, les variantes de logiciels malveillants possèdent des modules opérationnels dans l’un des cinq modes suivants : mode fraude SEO, mode Proxy, mode injecteur, mode infostealer et mode backdoor.

Pour le mode fraude SEO, le logiciel malveillant peut modifier le contenu envoyé aux robots des moteurs de recherche pour voler des informations vitales telles que les détails de paiement et les identifiants de connexion.

Les attaquants peuvent également utiliser le logiciel malveillant en mode proxy en transformant la partie vulnérable du serveur C2 en une famille de logiciels malveillants, relayant la communication entre le serveur C2 et les victimes.

Le logiciel malveillant peut également être utilisé pour modifier les réponses HTTP fournies aux visiteurs légitimes qui ne sont pas conscients de la présence du logiciel malveillant.

Toutefois, dans la plupart des cas, les acteurs malveillants utilisent une autre variante du logiciel malveillant comme mode backdoor, contrôlant l’ordinateur infiltré à distance. Le chercheur a également constaté que la variante du logiciel malveillant était utilisée pour intercepter le trafic entre les visiteurs légitimes du site et le serveur compromis.

Les acteurs malveillants tirent parti des modules extensibles

Microsoft a déjà publié des correctifs pour les failles ProxyLogon sur les serveurs Microsoft Exchange en mars. Les correctifs concernaient des vulnérabilités dans les serveurs Exchange 2013, 2016 et 2019. Cependant, il semblait que les hackers étaient toujours intéressés par d’autres modèles. Mais cette fois, de multiples groupes APT ont fait une incursion dans la fête, car ESET a découvert quatre serveurs de messagerie compromis en Amérique du Sud et en Asie.

ESET a également commenté le module extensible, en soulignant la raison pour laquelle il est désormais attrayant pour les acteurs malveillants. La société de sécurité a déclaré que les attaquants profitent du module extensible pour s’introduire dans le trafic réseau, confisquer des données sensibles et diffuser du contenu malveillant.

En outre, les auteurs de menaces ont plus de facilité à s’infiltrer dans les réseaux car la plupart des logiciels de sécurité ne fonctionnent pas sur les serveurs IIS. La situation est donc assez inquiétante pour les portails web qui cherchent à protéger les données de leurs visiteurs. Les acteurs malveillants pourraient facilement voler les informations d’authentification et de paiement des utilisateurs sur les portails Web avec la bonne motivation, ont déclaré les chercheurs d’ESET.

Les serveurs Microsoft Exchange ont été ciblés dans le passé

Ce n’est pas la première fois que des groupes de hackers APT font preuve de sérieux en attaquant les serveurs Microsoft Exchange. Le mois dernier, un nouveau type de logiciel malveillant a visé les serveurs Microsoft Internet Information Services (IIS). La société de cybersécurité Sygnia a publié un rapport détaillant la nature de ces logiciels malveillants et la manière dont ils sont utilisés pour infecter les serveurs Windows. Selon la société, le groupe de hackers responsable de ce logiciel malveillant est connu sous le nom de « TG1021 » ou « Praying Mantis ».

Sygnia a mis en garde les utilisateurs de Windows IIS contre ce logiciel malveillant et leur a demandé de mettre à jour leurs bugs de désérialisation .NET et de surveiller toute activité douteuse sur leurs systèmes.

Les chercheurs en sécurité basés en Israël ont également noté que les hackers ont commencé à lancer des attaques avancées de type « memory-resident », et soupçonnent le gouvernement d’être derrière ces hackers.

L’incident a été initialement découvert par l’Australian Cyber Security Center en juin 2020. Au moment de sa découverte, l’agence a parlé d’un « Copy Past Compromise » utilisé par un groupe de hackers en Asie.

Microsoft a développé l’IIS, un serveur web extensible. Il permet aux développeurs d’utiliser l’architecture modulaire et d’étendre ses principales fonctionnalités à l’aide de modules IIS supplémentaires.