Возрождение TigerRAT группы Andariel, нацеленное на веб‑серверы IIS

Аналитический центр безопасности AhnLab (ASEC) в отчете по статистике вредоносного ПО за 4 квартал 2025 года зафиксировал возобновление активности бэкдора TigerRAT, ассоциируемого с группой Andariel. Угроза нацелена преимущественно на веб‑серверы Windows, в частности на конфигурации Internet Information Services (IIS), что вызывает тревогу у экспертов по кибербезопасности.

Краткие выводы

• Возрождение TigerRAT: вредоносное ПО, ранее замеченное в целевых атаках, вновь появилось в октябре 2025.
• Целевые платформы: в основном скомпрометированы веб‑серверы IIS на системах Windows.
• Подозреваемый вектор первоначального доступа: наличие признаков использования webshell, хотя точный метод проникновения не установлен.
• Исполнение через системные процессы: последующие вредоносные команды исполнялись через процесс «w3wp.exe», рабочий процесс обработки веб‑запросов в IIS.
• Тактика нападения: злоумышленники использовали системный подход к разведке окружения, чтобы усилить шансы на длительное присутствие и дальнейшее управление.

Как, по данным ASEC, разворачивалась атака

ASEC отмечает, что хотя первичный путь проникновения остается неустановленным, собранные артефакты указывают на эксплуатацию уязвимостей веб‑серверов с последующей установкой webshell. Именно через этот механизм злоумышленники, судя по всему, получили возможность запускать команды в контексте процесса w3wp.exe, что свидетельствует о глубоком понимании архитектуры IIS и способности управлять системными процессами для маскировки активности.

В отчете указано: «последующие вредоносные команды выполнялись через «w3wp.exe» процесс, который является рабочим процессом для обработки веб‑запросов в IIS.»

Почему это опасно

Возрождение TigerRAT и подтвержденная работа через w3wp.exe представляют серьезную угрозу по нескольким причинам:

• бэкдор предоставляет злоумышленникам постоянный удаленный доступ и контроль над сервером;
• атаки ориентированы на критичные точки инфраструктуры — публично доступные веб‑сервисы;
• использование легитимных сервисных процессов снижает заметность активности для традиционных средств мониторинга;
• системная разведка на ранних этапах повышает вероятность успешного последующего расширения доступа и сохранения присутствия.

Рекомендации по защите

Эксперты ASEC и практикующие специалисты по безопасности рекомендуют следующие меры:

• Своевременное обновление и патчинг: поддерживать актуальность ОС и компонентов IIS для закрытия известных уязвимостей.
• Поиск и удаление webshell: регулярно сканировать веб‑каталоги и журналы на предмет аномальных скриптов и посторонних файлов.
• Мониторинг процесса w3wp.exe: отслеживать сетевые соединения, дочерние процессы и необычную активность, инициируемую w3wp.exe.
• Развертывание WAF и ограничение доступа: использовать Web Application Firewall, ограничить доступ к административным интерфейсам и точкам развертывания.
• Сегментация сети и принцип наименьших привилегий: минимизировать последствия возможной компрометации веб‑серверов.
• EDR и SIEM‑аналитика: интегрировать детектирование поведенческих индикаторов и коррелировать события для быстрого реагирования.
• План реагирования и резервные копии: иметь подготовленный IR‑план и проверенные резервные копии конфигураций и данных.

Итог

Случай с TigerRAT подтверждает, что злоумышленники продолжают эволюционировать, используя сочетание известных инструментов и глубоких знаний архитектуры целевых систем. Это напоминает о необходимости постоянной бдительности: проактивного патчинга, детектирования webshell и внимательного мониторинга процессов, таких как w3wp.exe. Комплексный подход к защите веб‑серверов Windows остается ключевым фактором снижения рисков от сложных целенаправленных угроз, подобных тем, которые приписывают группе Andariel.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.