Ciberseguridad – Un nuevo grupo APT compromete servidores Microsoft IIS utilizando exploits ASP.NET

La compañía de ciberseguridad israelí Sygnia ha detectado una campaña de malware contra servidores Microsoft IIS. El nombre con el que se ha bautizado el grupo que se encuentra tras la campaña es «Praying Mantis«, aunque también se ha utilizado «TG2021«.

Para el acceso al sistema, los atacantes explotan diferentes vulnerabilidades de ASP.NET, entre las que se encuentran las identificadas por los siguientes CVE: CVE-2021-27852CVE-2019-18935 y CVE-2017-11317. Gracias a ellas, los atacantes pueden ejecutar su propio código en el sistema realizando peticiones HTTP al servidor.

A través de estas peticiones, los atacantes pueden cargar de forma «reflectiva» una DLL maliciosa que actúa como cargador del resto de malware en las etapas siguientes a la post-explotación (Reflective Loader DLL).

APT Hacking Group

Fuente: TheHackerNews

Con esta DLL cargada de forma «reflectiva», el atacante puede utilizarla para cargar nuevas DLL que contengan funcionalidad adicional. De hecho, los atacantes han separado la funcionalidad en diferentes DLLs (módulos) que se cargan y ejecutan cuando el atacante los necesita en las diferentes tareas de post-explotación. Algunos de estos módulos permiten a los delincuentes realizar tareas de reconocimiento de la red interna, elevar privilegios en el sistema infectado o moverse a otros dispositivos de la red interna.

Analizando su funcionamiento podemos observar cómo sus desarrolladores han puesto un gran interés en ocultar la actividad de este malware, tratando de evadir EDRs y dejando el mínimo rastro posible en el sistema infectado, para reducir las posibilidades de detección lo máximo posible.

 

Fuente: https://unaaldia.hispasec.com/2021/08/un-nuevo-grupo-apt-compromete-servidores-microsoft-iis-utilizando-exploits-asp-net.html

Facebook
Twitter
LinkedIn

¡No te pierdas nada!

Inscríbete ahora y sé el primero en recibir todas las novedades y actualizaciones exclusivas de nuestra página

Utilizamos cookies propias y de terceros, únicamente se limitan a recoger información técnica para identificar la sesión con la finalidad de obtener información estadística, facilitar el acceso seguro y eficiente de la página web, con el fin de darle mejor servicio en la página. Si continúas navegando este sitio asumiremos que estás de acuerdo.
×

Hola!

Recibe información gratuita y personalizada

× ¡Recibe info personalizada!