Фахівці міжнародного розробника антивірусного програмного забезпечення - компанії ESET виявили 10 раніше незафіксованих сімейств шкідливих програм, націлених на поштові скриньки урядових організацій і фінансові онлайн-операції.
"Ці загрози розроблені як небезпечні розширення для серверного програмного забезпечення Internet Information Services (IIS). Вони здатні перехоплювати дані й втручатися в комунікації сервера, націлюючись на поштові скриньки урядових установ і фінансові онлайн-транзакції", - повідомили в компанії ESET.
Згідно з повідомленням, в 2021 році мінімум 5 бекдорів поширювалися за допомогою несанкціонованого використання поштових серверів Microsoft Exchange.
Хто опинився під прицілом
Серед жертв опинилися урядові установи Південно-Східної Азії і десятки компаній з різних галузей, розташовані, в основному, в Канаді, В'єтнамі та Індії, а також в США, Новій Зеландії, Південній Кореї та інших країнах. Крім того, цілями одного з бекдорів стала невелика кількість серверів IIS в Україні.
За даними ESET, загрози цього виду використовуються для кібершпіонажу, шахрайства з пошуковою оптимізацією (SEO) та інших злочинних цілей. У всіх випадках основна мета кіберзлочинців - перехопити http-запити, які надходять на скомпрометований сервер IIS, і вплинути на відповіді сервера.
"Сервери Internet Information Services були атаковані різними зловмисниками з метою кібершпіонажу та іншої злочинної діяльності. Модульна архітектура програмного забезпечення, створена для розширення можливостей веб-розробників, може використовуватися як інструмент кіберзлочинців", - прокоментувала виявлену загрозу дослідник компанії ESET Зузана Хромцова.
Фахівці ESET визначили 5 основних сценаріїв роботи шкідливих програм, націлених на IIS:
- Бекдори дозволяють дистанційно керувати скомпрометованим комп'ютером з встановленим програмним забезпеченням IIS.
- Програми для викрадення дозволяють перехоплювати регулярний трафік між скомпрометованим сервером і легітимними відвідувачами, а також викрадати облікові дані для входу і платіжну інформацію.
- Інжектори змінюють HTTP-відповіді, які надсилаються легітимним відвідувачам, для поширення шкідливого вмісту.
- Проксі-модулі перетворюють скомпрометований сервер в частину командного сервера для іншого сімейства шкідливих програм.
- SEO-шахрайство, при якому шкідливі програми змінюють контент пошукових систем для маніпулювання алгоритмами пошукової видачі та підвищення рейтингу інших сайтів, в яких зацікавлені зловмисники.
"На серверах IIS рідко встановлюються рішення з безпеки, що дозволяє зловмисникам залишатися непоміченими протягом тривалого часу. Це повинно викликати занепокоєння у авторитетних веб-порталів, які хочуть захистити дані своїх відвідувачів, включаючи інформацію про аутентифікацію та платіжні дані. Організації, які використовують Outlook, також повинні бути обережними, оскільки вони залежать від IIS і можуть стати новою метою для шпигунства", – пояснила Хромцова.
Як захиститися від хакерів
Для запобігання атак шкідливих програм на IIS дослідники ESET рекомендують, перш за все, використовувати унікальні й надійні паролі, а також багатофакторну аутентифікацію для адміністрування серверів IIS. Також необхідно регулярно оновлювати операційну систему до актуальних версій, використовувати брандмауер, а також рішення для захисту серверів, і регулярно перевіряти конфігурацію сервера IIS, щоб переконатися в легітимності всіх встановлених розширень.
Як повідомляв УНІАН, в Україні щодня фіксується близько 300 тис. нових кіберзагроз для інформаційної безпеки. При цьому, знайти хакерів-зловмисників вкрай складно, компаніям залишається лише проводити щохвилинні моніторинги на предмет виявлення кіберзагроз з метою їх подальшого блокування.
Компанія ESET-провідний розробник рішень в області комп'ютерної безпеки та експерт у сфері ІТ-безпеки. Компанія була заснована в 1992 році в Словаччині і на сьогодні представлена більш, ніж в 180 країнах світу.
Наші стандарти: Редакційна політика сайту Главред