logo ESET software spol. s r. o.
Zuzana Hromcová

Zuzana Hromcová

Analytička společnosti ESET

LinkedIn

Na webové servery Internet Information Services se zaměřili různí útočníci orientovaní na kyberkriminalitu a kybernetickou špionáž. Modulární architektura softwaru, navržena tak, aby poskytovala rozšiřitelnost webovým vývojářům, může být užitečným nástrojem pro útočníky. Je stále dost vzácné, aby se bezpečnostní software používal i na ochranu IIS serverů, což útočníkům usnadňuje dlouhodobé nepozorované fungování.

To by mělo být znepokojující pro všechny seriózní webové portály, které chtějí chránit data svých návštěvníků včetně informací o ověření a platbách. Pozor by si měly dát i organizace, které používají aplikaci Outlook na webu, protože jsou závislé na IIS a mohly by být cílem špionáže.

03.09.21-PÁ IIS malware

Attor má modulární architekturu. Skládá se z dispečera a dynamicky nahrávaných pluginů, které se při volání základních Windows API funkcí spoléhají na zmíněného dispečera, tzn. že je nevolají přímo a zametají tak svoji stopu před bezpečnostním softwarem.

Tyto pluginy se doručují do kompromitovaného počítače v podobě zašifrovaných DLL souborů. K jejich odšifrování dochází pouze v operační paměti. Bez přístupu k dispečerskému modulu je tak nemožné získat ostatní pluginy a rozšifrovat je.

Když jsme zjistili, že backdoor Okrum vytvořený v roce 2017, byl použitý ke spuštění Ketricanu, začali do sebe informace zapadat. Navíc jsme zjistili, že některé diplomatické subjekty byly zasaženy jak backdoorem Okrum tak verzemi Ketricanu z let 2015 a 2017. Skupina zůstává aktivní dodnes, v březnu jsme detekovali novou verzi Ketricanu.

Naše vyšetřování poskytuje důkazy, které spojují nový backdoor se skupinou Ke3chang. Krom podobných cílů má Okrum obdobný modus operandi jako dřívější malware skupiny.

Nabídka zaměstnání ESET software spol. s r. o.