Zuzana Hromcová |
|
Analytička společnosti ESET |
|
Na webové servery Internet Information Services se zaměřili různí útočníci orientovaní na kyberkriminalitu a kybernetickou špionáž. Modulární architektura softwaru, navržena tak, aby poskytovala rozšiřitelnost webovým vývojářům, může být užitečným nástrojem pro útočníky. Je stále dost vzácné, aby se bezpečnostní software používal i na ochranu IIS serverů, což útočníkům usnadňuje dlouhodobé nepozorované fungování. To by mělo být znepokojující pro všechny seriózní webové portály, které chtějí chránit data svých návštěvníků včetně informací o ověření a platbách. Pozor by si měly dát i organizace, které používají aplikaci Outlook na webu, protože jsou závislé na IIS a mohly by být cílem špionáže. |
03.09.21-PÁ IIS malware |
Attor má modulární architekturu. Skládá se z dispečera a dynamicky nahrávaných pluginů, které se při volání základních Windows API funkcí spoléhají na zmíněného dispečera, tzn. že je nevolají přímo a zametají tak svoji stopu před bezpečnostním softwarem. Tyto pluginy se doručují do kompromitovaného počítače v podobě zašifrovaných DLL souborů. K jejich odšifrování dochází pouze v operační paměti. Bez přístupu k dispečerskému modulu je tak nemožné získat ostatní pluginy a rozšifrovat je. |
Když jsme zjistili, že backdoor Okrum vytvořený v roce 2017, byl použitý ke spuštění Ketricanu, začali do sebe informace zapadat. Navíc jsme zjistili, že některé diplomatické subjekty byly zasaženy jak backdoorem Okrum tak verzemi Ketricanu z let 2015 a 2017. Skupina zůstává aktivní dodnes, v březnu jsme detekovali novou verzi Ketricanu. Naše vyšetřování poskytuje důkazy, které spojují nový backdoor se skupinou Ke3chang. Krom podobných cílů má Okrum obdobný modus operandi jako dřívější malware skupiny. |