Les acteurs de la menace abusent de plus en plus des extensions Internet Information Services (IIS) pour les serveurs de porte dérobée afin d’établir un « mécanisme de persistance durable ». C’est selon un nouvel avertissement de l’équipe de recherche Microsoft 365 Defender, qui a déclaré que « les portes dérobées IIS sont également plus difficiles à détecter car elles résident principalement dans les mêmes répertoires que les modules légitimes utilisés par les applications cibles, et elles suivent la même structure de code que propre modules. » Les chaînes d’attaque adoptant cette approche commencent par militariser une vulnérabilité critique dans l’application hébergée pour un accès initial, en utilisant cette prise de pied pour supprimer un shell Web de script comme charge utile de première étape. Ce shell Web devient alors le canal d’installation d’un module IIS escroc pour fournir un accès hautement secret et persistant au serveur, en plus de surveiller les demandes entrantes et sortantes ainsi que d’exécuter des commandes à distance. En effet, plus tôt ce mois-ci, les chercheurs de Kaspersky ont révélé une campagne entreprise par le groupe Gelsemium, qui a profité des failles de ProxyLogon Exchange Server pour lancer un logiciel malveillant IIS appelé SessionManager.
Dans une autre série d’attaques observées par le géant de la technologie entre janvier et mai 2022, les serveurs Exchange ont été ciblés avec des shells Web au moyen d’un exploit pour les failles ProxyShell, qui a finalement conduit au déploiement d’une porte dérobée appelée « FinanceSvcModel.dll » mais pas avant une période de reconnaissance. « La porte dérobée avait une capacité intégrée pour effectuer des opérations de gestion Exchange, telles que l’énumération des comptes de boîtes aux lettres installés et l’exportation de boîtes aux lettres pour exfiltration », a expliqué le chercheur en sécurité Hardik Suri. Pour atténuer de telles attaques, il est recommandé d’appliquer les dernières mises à jour de sécurité pour les composants du serveur dès que possible, de garder les antivirus et autres protections activés, de revoir les rôles et groupes sensibles et de restreindre l’accès en appliquant le principe du moindre privilège et en maintenant une bonne hygiène des informations d’identification.