СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
01.05.2025
#Dev#ИБ#Инфра

Сложные методы атак на веб-серверы: инцидент 2025 года

Сложные методы атак на веб-серверы: инцидент 2025 года

Источник: asec.ahnlab.com

В феврале 2025 года произошел серьезный киберинцидент, связанный с атакой китайскоязычного хакера на внутренние веб-серверы. Этот инцидент стал свидетельством “недостаточного управления безопасностью” и продемонстрировал растущую угрозу, которую представляют современные кибератаки.

Тактика и механизмы атаки

Хакер использовал широкий арсенал вредоносных инструментов, включая:

  • встроенный в веб-интерфейс вредоносный модуль;
  • вредоносную программу .NET loader;
  • бэкдор Gh0st RAT.

Атака началась с проникновения на веб-сервер, где злоумышленник установил контроль с помощью .NET loader, который упростил внедрение вредоносного модуля Internet Information Services (IIS). Этот модуль был интегрирован в процесс w3wp.exe и сумел:

  • перехватывать все входящие HTTP-запросы;
  • изменять значения ответов;
  • перенаправлять трафик на определенные страницы.

Данный модуль обрабатывал три критических события в жизненном цикле запрос-ответ: OnGlobalPreBeginRequest, onBeginRequest и OnSendResponse, что позволяло злоумышленнику манипулировать данными, которыми обмениваются пользователи.

Скрытное внедрение вредоносного ПО

Для установки модуля IIS использовалась команда управления AppCmd.exe, а сам модуль, известный как IsapiCachesModule, был разработан для 64-разрядной версии процесса w3wp.exe. Однако злоумышленник также применил утилиту HijackDriverManager, использующую руткит-технологии для сокрытия файлов и компонентов атаки от систем безопасности.

Помимо встроенного модуля IIS, в системе были найдены следы Gh0st RAT, широко известного вредоносного программного обеспечения, предоставляющего возможности контроля системы, управления файлами и наблюдения.

Источники прибыли и потенциальные угрозы

Атака преследовала цель использования взломанного веб-сервера для получения прибыли. Злоумышленник вставлял партнерские ссылки в ответные значения, перенаправляя пользователей на рекламные или фишинговые сайты, что создавало риск утечек конфиденциальной информации.

Таким образом, этот инцидент подчеркивает:

  • эволюцию кибератак и их комплексность;
  • необходимость в надежных методах управления безопасностью;
  • высокую степень угроз для веб-серверов.

В условиях усиливающейся киберугрозы данный случай служит важным напоминанием о необходимости повышения уровня защиты информационных систем и строгого контроля за безопасностью.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: