مهاجمان با هک سرورهای IIS و افزودن صفحات حاوی اعلان جعلی به آنها در حال آلودهسازی کاربران به بدافزار هستند.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه شده، جزییات این حملات مورد بررسی قرار گرفته است.
Internet Information Services – به اختصار IIS – نرمافزار وب سرور Microsoft Windows است که از نسخه 2000/XP به بعد در این سیستمعامل موجود است.
اعلانهای جعلی مذکور در قالب بهروزرسانی گواهینامه (Certificate) کاربران را ترغیب به دریافت یک فایل مخرب و اجرای آن بر روی دستگاه قربانی میکنند. این فایل مخرب در نهایت منجر به اجرای TeamViewer بر روی دستگاه شده و کنترل سیستم مذکور را در اختیار مهاجمان قرار میدهد.
پیام جعلی نمایش داده شده حاوی متن زیر است که در آن درخصوص انقضای گواهینامه به کاربران هشدار داده میشود.
“Detected a potential security risk and has not extended the transition to [sitename]. Updating a security certificate may allow this connection to succeed. NET::ERR_CERT_OUT_OF_DATE.”
با کلیک بر روی دگمه Update (Recommended)، یک فایل اجرایی با نام HTTPS_browser_cert_09_2021.exe دانلود میشود.
این فایل طبق آمار سایت VirusTotal که در ادامه لینک آن نمایش داده شده ، توسط 33 ضدویروس از 67 ضدویروس به عنوان بدافزار تشخیص داده میشود.
فایل مذکور توسط گواهینامه Digicert، امضاء شده است.
کد مخرب منتقل شده بر روی سیستمهای آلوده، TVRAT (که به نامهای TVSPY ،TeamSpy ،TeamViewerENT یا Team Viewer RAT نیز معروف است) میباشد. TVRAT بدافزاری است که دسترسی کامل از راه دور به دستگاههای آلوده را برای اپراتورهای خود فراهم میکند.
در جریان این حملات، پس از بارگذاری TVRAT بر روی دستگاه آلوده، بدون اطلاع کاربر نسخهای از نرمافزار کنترل از راه دور TeamViewer اجرا میشود. پس از راهاندازی، سرور TeamViewer به سرور کنترل و فرماندهی (C2) متصل شده تا به مهاجمان اطلاع دهد که میتوانند از راه دور کنترل کامل کامپیوتری که اخیراً آلوده شده را در دست گیرند.
TVRAT برای اولین بار در سال 2013 ظاهر شد و از طریق کارزارهای هرزنامه در قالب پیوستهای ماکروی مخرب منتشر میشد.
در حالی که نحوه هک شدن سرورهای IIS توسط این مهاجمان هنوز مشخص نیست، روشهای مختلفی را میتوان برای نفوذ به آنها متصور بود.
به عنوان مثال، در ماه می یک نمونه کد بهرهجو (Exploit) به صورت عمومی منتشر شد که با سوءاستفاده از یک آسیبپذیری حیاتی در HTTP Protocol Stack (HTTP.sys) امکان هدف قرار دادن سرور IIS را فراهم میکند. در این راستا مایکروسافت در ماه می، این ضعف امنیتی به شناسه CVE-2021-31166 را وصله کرد.
در گذشته نیز مهاجمان با پشتوانه دولتی، از ضعفهای امنیتی مختلفی جهت آلودهسازی سرورهای IIS متصل به اینترنت استفاده میکردند.
جدیدترین مثال آن مربوط به یک گروه از گردانندگان تهدیدات مستمر و پیشرفته (Advanced Persistent Threat – به اختصار APT) است که با عنوان Praying Mantis یا TG1021 نیز شناخته میشوند. این مهاجمان بر اساس گزارشی که ماه آگوست منتشر شده، سرورهای IIS را هدف قرار دادهاند. مهاجمان مذکور در جریان حملات از ضعفهای امنیتی زیر سوءاستفاده کردند.
- Checkbox Survey RCE (CVE-2021-27852)
- Telerik-UI (CVE-2019-18935, CVE-2017-11317)
به گفته محققان اپراتورهای پشت این حملات بدافزاری، سرورهای تحت Windows متصل به اینترنت را از طریق حملات Deserialization مورد هدف قرار دادند تا یک بدافزاری کاملاً سفارشی را در بستر IIS منتشر کنند. سپس مهاجمان Praying Mantis از دسترسی خود که به واسطه هک سرورهای IIS بدست آورده بودند برای انجام اقدامات مخرب دیگری از جمله جمعآوری رمزهای عبور، شناسایی سیستمهای دیگر و گسترش دامنه نفوذ استفاده کردند.