Una sofisticada campaña de ataque dirigida a los servidores web de Windows IIS con módulos nativos de sigilo.
Los investigadores observaron a los actores de amenaza de habla china que desplegaron malware IIS avanzado contra los servidores web coreanos, lo que permite a los atacantes interceptar y manipular todo el tráfico web entrante mientras aún oculta la solución de seguridad.
Ataque en varias etapas dirigido a servidores IIS
Descubierto en febrero de 2025, la campaña comienza con los actores de amenaza que obtienen acceso inicial a servidores web no administrados.
Después de establecer el andamio, el atacante despliega una cadena de ataque de varias etapas que consta de malware del cargador .NET que actúa como una red web, seguido de un módulo nativo malicioso de IIS que controla permanentemente el servidor comprometido.
El atacante abusa hábilmente de las herramientas de administración de IIS legítimas, instala malware y utiliza la utilidad EXE estándar APPCMD (.) Utilizando el siguiente comando:
Este comando registra el módulo malicioso “Caches.dll” como un componente IIS legítimo llamado “isapicachesmodule” y asegura que está cargado por un proceso de trabajadores de 64 bits (w3wp (.) Exe).
AhnLab Security Intelligence Center (ASEC) dice que una vez instalados, los módulos nativos maliciosos inserta ganchos en tres puntos clave en la tubería de solicitud HTTP.
OnglobalpreBeginRequest: Solicitudes de interceptación a nivel global OnBeginRequest: Capture la primera llamada con la tubería de nivel de solicitud OnsendResponse: Control de los datos de respuesta justo antes de enviar al usuario
Este módulo contiene cinco clases maliciosas que proporcionan un control integral para los atacantes.
webdllServer: si la URL contiene un servidor de redirección “web.dll”, ejecute el archivo ASP analizando la cadena de consulta: manipule la respuesta HTTP a las víctimas de redirección de las víctimas de África: formadores de formetos de formetos formadores formadores formadores formadores de formadores de formetores uris Formetros Formetores Formetores Formetores Formetores Formetores Formetores Formetores Formetores Formetores Formetores Formetores Formetores para las víctimas
Para evitar la detección, el atacante despliega una utilidad RootKit llamada “HijackDrivermanager” utilizando la interfaz china. Esta herramienta aprovecha al controlador Winkbj.Sys Rootkit para ocultar archivos maliciosos, claves de registro y procesos en productos de seguridad.
El sistema comprometido también mostró evidencia de ratas GH0ST, un poderoso trasero comúnmente utilizado por el grupo APT chino, comunicándose con el servidor de comando y control al 47.236.9 (.) 229: 10086.
Los investigadores de seguridad atribuyen la campaña a grupos de amenazas de habla china basados en múltiples métricas, incluido el uso de malware de rata GH0 y componentes chinos en herramientas de ataque. El atacante parece estar motivado por los beneficios económicos y el robo de datos.
“Al instalar un módulo malicioso en un servidor web, los actores de amenaza pudieron insertar enlaces de afiliados en los valores de respuesta al tráfico HTTP solicitado por el servidor web”, comparte ASEC con Cybersecurity News.
“Además, los actores de amenaza usaron malware para instalar páginas de phishing, redirigiendo a los usuarios, filtrando así información confidencial”.
alivio
Los administradores del servidor recomiendan implementar algunas medidas de seguridad.
Permite los últimos parches de seguridad que se aplicarán al sistema operativo del servidor. Detección basada en la operación en tiempo real en el monitor de productos de seguridad para instalaciones anormales del módulo IIS utilizando AppCMD (.) Audita la configuración del servidor web periódicamente para cambios no autorizados.
El ataque destaca el refinamiento sofisticado de los ataques del servidor web que aprovechan las capacidades de las herramientas de gestión legítimas y los módulos nativos para permitir la persistencia y el sigilo.
El fraude fiscal se está volviendo más inteligente: verifique los dominios maliciosos en la suite de investigación de dominio
