Un nuevo grupo APT compromete servidores Microsoft IIS utilizando exploits ASP.NET

 

Un grupo desconocido de delincuentes están atacando últimamente servidores web de Microsoft IIS haciendo uso de múltiples vulnerabilidades existentes en ASP.NET

https://i2.wp.com/unaaldia.hispasec.com/wp-content/uploads/2021/08/malware.png?w=768&ssl=1

La compañía de ciberseguridad israelí Sygnia ha detectado una campaña de malware contra servidores Microsoft IIS. El nombre con el que se ha bautizado el grupo que se encuentra tras la campaña es «Praying Mantis«, aunque también se ha utilizado «TG2021«.

Para el acceso al sistema, los atacantes explotan diferentes vulnerabilidades de ASP.NET, entre las que se encuentran las identificadas por los siguientes CVE: CVE-2021-27852, CVE-2019-18935 y CVE-2017-11317. Gracias a ellas, los atacantes pueden ejecutar su propio código en el sistema realizando peticiones HTTP al servidor.

A través de estas peticiones, los atacantes pueden cargar de forma «reflectiva» una DLL maliciosa que actúa como cargador del resto de malware en las etapas siguientes a la post-explotación (Reflective Loader DLL).

Ver imagen :

https://i0.wp.com/thehackernews.com/images/-ZP-P4VwOZxI/YQfQWTuCuiI/AAAAAAAADac/u-zO1cQst2UuJ9lV7I9J_dj369CMBpmhgCLcBGAsYHQ/s728-e1000/hacker-attack.jpg?ssl=1

APT Hacking Group
Fuente: TheHackerNews

Con esta DLL cargada de forma «reflectiva», el atacante puede utilizarla para cargar nuevas DLL que contengan funcionalidad adicional. De hecho, los atacantes han separado la funcionalidad en diferentes DLLs (módulos) que se cargan y ejecutan cuando el atacante los necesita en las diferentes tareas de post-explotación. Algunos de estos módulos permiten a los delincuentes realizar tareas de reconocimiento de la red interna, elevar privilegios en el sistema infectado o moverse a otros dispositivos de la red interna.

Analizando su funcionamiento podemos observar cómo sus desarrolladores han puesto un gran interés en ocultar la actividad de este malware, tratando de evadir EDRs y dejando el mínimo rastro posible en el sistema infectado, para reducir las posibilidades de detección lo máximo posible.

 

 

Ver información original al respecto en Fuente>

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies