Peneliti ESET telah menemukan dan menganalisis trojan yang tidak terdokumentasi sebelumnya, ancaman ini diimplementasikan sebagai ekstensi berbahaya untuk Internet Information Service (IIS) yaitu software server web Microsoft
Malware ini menjadi bagian dari server, dan dapat mengakses semua komunikasi jaringan yang mengalir melalui server dan mencuri data yang menarik bagi pelaku, dalam hal ini informasi pembayaran dari transaksi e-commerce.
Selain menargetkan transaksi e-commerce, mereka juga mengincar mailbox pemerintah serta membantu dalam distribusi malware, jenis ancaman yang beragam ini beroperasi dengan menyadap dan merusak komunikasi server. ESET menamainya sebagai IIStealer, terdeteksi oleh solusi keamanan ESET sebagai Win64/BadIIS.
ESET menemukan lebih dari 80 sampel dan mengkategorikannya menjadi 14 keluarga malware, 10 di antaranya sebelumnya tidak terdokumentasi. Solusi keamanan ESET mendeteksi keluarga-keluarga malware ini sebagai Win {32,64/badiis dan Win {32,64}/spy.Iisniff.
Cara kerja malware IIS
Malware IIS adalah ancaman yang beragam yang digunakan untuk cybercrime, cyberespionage, dan penipuan SEO, tetapi dalam semua kasus, tujuan utamanya adalah untuk mencegat HTTP request yang masuk ke server IIS yang dikompromikan dan memengaruhi servernya.
Dengan instalasi default, IIS sendiri persisten untuk dapat bertahan dalam mesin yang disusupi, sehingga malware IIS tidak perlu lagi menerapkan mekanisme persistensi tambahan.
Setelah dikonfigurasi sebagai ekstensi IIS, modul IIS berbahaya dimuat oleh proses kerja IIS (w3wp.exe), yang menangani permintaan yang dikirim ke server, di sinilah malware IIS dapat mengganggu pemrosesan permintaan.
ESET mengidentifikasi lima mode utama Malware IIS beroperasi:
-
- Backdoor IIS memungkinkan operator mereka untuk mengontrol komputer yang dikompromikan dengan jarak jauh dengan IIS yang diinstal.
- IIS infostealer memungkinkan operator mereka untuk mencegat lalu lintas reguler antara server yang dikompromikan dan pengunjungnya yang sah untuk mencuri informasi seperti kredensial login dan informasi pembayaran. Menggunakan HTTPS tidak mencegah serangan ini, karena malware IIS dapat mengakses semua data yang ditangani oleh server, di mana data diproses dalam keadaan tidak terenkripsi.
- IIS Injector memodifikasi HTTP rquest yang dikirim ke pengunjung yang sah untuk menyajikan konten berbahaya.
- Proksi IIS mengubah server yang dikompromikan menjadi bagian tanpa disadari dari infrastruktur C&C untuk keluarga malware lain, dan menyalahgunakan server IIS untuk menyampaikan komunikasi antar korban malware itu dan server C&C yang sebenarnya.
- SEO Fraud Malware IIS memodifikasi konten yang disajikan untuk mencari mesin untuk memanipulasi algoritma SERP dan meningkatkan peringkat untuk situs web lain yang menarik bagi para peretas
Bagaimana dan di mana menyebar
Modul IIS asli memiliki akses tidak terbatas ke sumber daya apa pun yang tersedia untuk proses kerja server, dengan demikian hak administratif diperlukan untuk menginstal Malware IIS asli. Ini sangat menyempit opsi untuk vektor serangan awal. ESET telah melihat adanya dua skenario:
-
- IIS malware menyebar sebagai versi trojanisasi dari modul IIS yang sah
-
- IIS Malware menyebar melalui eksploitasi server
Misalnya, antara Maret dan Juni 2021, ESET mendeteksi gelombang Backdoors IIS yang menyebar melalui rantai kerentanan RCE pra-otentikasi Microsoft Exchange (CVE-2021-26855, CVE-2021-26857, CVE-2021 -27065), alias proxylogon.
Ditargetkan secara khusus adalah server Exchange yang memiliki pandangan di web (alias OWA) diaktifkan, karena IIS digunakan untuk mengimplementasikan OWA, ini adalah target yang sangat menarik untuk spionase.
Kolega ESET melaporkan kasus pertama tersebut pada Maret 2021, dan ESET telah mendeteksi empat operasi siber lebih banyak dari berbagai backdoors IIS yang menyebar ke server Microsoft Exchange melalui kerentanan yang sama.
Untuk melengkapi telemetri, ESET menampilkan pemindaian Internet untuk mendeteksi keberadaan backdoors ini, yang memungkinkan untuk mengidentifikasi dan memberi tahu korban malware lainnya.
Berikut adalah entitas yang ikut menjadi korban:
-
- Institusi Pemerintah di Tiga Negara di Asia Tenggara
-
- Perusahaan telekomunikasi utama di Kamboja
-
- Sebuah lembaga penelitian di Vietnam
-
- Lusinan perusahaan swasta dalam berbagai industri, yang sebagian besar terletak di Kanada, Vietnam dan India, dan lainnya di Amerika Serikat, Selandia Baru, Korea Selatan, dan negara-negara lain
Perhatikan bahwa sementara Backdoors IIS mungkin cocok untuk memata-matai mailbox profil tinggi, korban Malware IIS tidak terbatas pada server yang dikompromikan, semua pengunjung yang sah dari situs web yang diselenggarakan oleh server ini adalah target potensial, karena malware yang sama dapat terus diberdayakan, seperti mencuri data sensitif dari pengunjung (IIS infostealers) atau menyajikan konten berbahaya (IIS Injectors).
