Grupo de hackers APT atacam servidores IIS Microsoft

Shape Image One
Grupo de hackers APT atacam servidores IIS Microsoft

Salve galera! Wellington Agápto por aqui. Hoje eu trouxe o artigo: Grupo de hackers APT atacam servidores IIS Microsoft. Espero que seja útil, um grande abraço e até a próxima.

 

Grupo de hackers APT atacam servidores IIS Microsoft

Um novo agente de ameaças altamente capaz e persistente tem almejado as principais entidades públicas e privadas de alto perfil nos Estados Unidos, como parte de uma série de ataques de intrusão cibernética, explorando servidores Microsoft Internet Information Services ( IIS ) expostos para a Internet. A empresa israelense de segurança cibernética Sygnia, que identificou a campanha, está rastreando o adversário avançado e furtivo sob o apelido de “Louva-a-deus” ou “TG2021”.

 

O que é o TG2021

“O TG1021 usa uma estrutura de malware customizada, construída em torno de um núcleo comum, feito sob medida para servidores IIS. O conjunto de ferramentas é completamente volátil, carregado de forma reflexiva na memória de uma máquina afetada e deixa pouco ou nenhum vestígio nos alvos infectados”, o pesquisadores disseram . “O agente da ameaça também usa um backdoor furtivo adicional e vários módulos pós-exploração para realizar reconhecimento de rede, elevar privilégios e mover-se lateralmente dentro das redes.”

Além de exibir recursos que mostram um esforço significativo para evitar a detecção, interferindo ativamente nos mecanismos de registro e evitando com êxito os sistemas de detecção e resposta de endpoint comerciais (EDR), o ator de ameaça é conhecido por aproveitar um arsenal de explorações de aplicativos da Web ASP.NET para obter um Suporte inicial e backdoor dos servidores executando um implante sofisticado denominado “NodeIISWeb”, projetado para carregar DLLs personalizadas, bem como interceptar e manipular solicitações HTTP recebidas pelo servidor.

 

Quais vulnerabilidades são exploradas?

 

Curiosamente, a investigação de Sygnia sobre as táticas, técnicas e procedimentos (TTPs) do TG1021 revelou “grandes sobreposições” àquelas de um ator patrocinado por uma nação chamado ” Compromissos de cópia e colagem “, conforme detalhado em um comunicado divulgado pelo Australian Cyber ​​Security Center ( ACSC) em junho de 2020, que descreveu uma campanha cibernética visando infraestrutura voltada para o público principalmente por meio do uso de falhas não corrigidas em servidores Telerik UI e IIS. No entanto, uma atribuição formal ainda não foi feita.

“Praying Mantis, que tem sido observado como alvo de entidades públicas e privadas de alto perfil em dois grandes mercados ocidentais, exemplifica uma tendência crescente de cibercriminosos usando métodos sofisticados de ataque de estado-nação para atingir organizações comerciais”, disseram os pesquisadores. “Atividades forenses contínuas e resposta oportuna a incidentes são essenciais para identificar e defender efetivamente as redes de ataques de agentes de ameaças semelhantes.”

 

Já conhece o nosso Acesso Black?

Tenha acesso a todos os cursos da nossa plataforma por um valor ultra especial.
Saiba mais sobre o ACESSO BLACK clicando AQUI.

 

Já conhece o nosso Podcast?

Gostaram do artigo: Grupo de hackers APT atacam servidores IIS Microsoft? Então conheça também o nosso Podcast – Formata meu PC?