攻撃者がWindows IISサーバーを侵害して、サイトの訪問者に悪意のある偽インストーラーのダウンロードを促す期限切れ証明書の通知ページを追加していることがわかりました。
インターネットインフォメーションサービス(IIS)は、Windows 2000、XP、Server 2003以降のすべてのWindowsに搭載されているMicrosoft WindowsのWebサーバーソフトウェアです。
悪意のある証明書の期限切れエラーページに表示されるメッセージは次のようなもので、
潜在的なセキュリティリスクを検出し、[sitename]への移動を禁止しています。セキュリティ証明書を更新すると、サイトへの接続が成功する可能性があります
Malwarebytes Threat Intelligenceのセキュリティリサーチャーが観測したように、このマルウェアはDigicert証明書で署名された偽のアップデートインストーラーを介してインストールされました。
感染したシステムに投下されたペイロードは、TVRAT(別名:TVSPY、TeamSpy、TeamViewerENT、またはTeam Viewer RAT)であり、攻撃者に感染したホストへの完全なリモートアクセスを提供するように設計されたマルウェアです。
感染したデバイスに展開されると、このマルウェアはリモートコントロールソフトウェア「TeamViewer」のインスタンスをサイレントインストールして起動します。
起動後、TeamViewerサーバーは、コマンド&コントロール(C2)サーバーに接続し、攻撃者に新たに感染したコンピューターをリモートで完全に制御できることを知らせます。
TVRATは、2013年に初めて登場し、標的を騙してOfficeマクロを有効にする悪意のある添付ファイルとしてスパムキ攻撃で配信されました。
IISサーバー:脆弱性と標的
攻撃者がIISサーバーを侵害するために使用した方法はまだわかっていませんが、攻撃者はさまざまな方法でWindows IISサーバーを侵害することができます。
例えば、Windows IIS Webサーバーで使用されているHTTPプロトコルスタック(HTTP.sys)に見つかったワーム性の重大な脆弱性を狙ったエクスプロイトコードが2021年5月から公開されており、実際に有効なコードとなっています。
マイクロソフトは、2021年5月のパッチチューズデーでこのセキュリティ上の欠陥(CVE-2021-31166)にパッチを当てましたが、その影響はWindows 10バージョン2004/20H2およびWindows Serverバージョン2004/20H2のみであるとコメントしています。
過去には、国家レベルのハッカーが、他の様々なエクスプロイトを利用して、インターネットに接続されたIISサーバーを侵害したケースもあります。
イスラエルのセキュリティ企業Sygnia社が2021年8月に発表したレポートによると、Praying MantisまたはTG1021と呼ばれるAPTグループが、Microsoft IIS Webサーバーを標的にしていたことが判明しました。
Praying Mantisは、Checkbox Survey RCE Exploit(CVE-2021-27852)、VIEWSTATE Deserialization and Altserialization Insecure Deserialization Exploit、Telerik-UI Exploit(CVE-2019-18935、CVE-2017-11317)を攻撃に使用したこともわかっています。
その後、Pray Mantisは、ハッキングされたIISサーバーを利用して、認証情報の取得、偵察、ターゲットのネットワーク上での横移動など、さらなる悪意のある行動を実行していました。
Comments