Microsoft заявляет, что злоумышленники все чаще используют вредоносные расширения веб-серверов Internet Information Services (IIS) для обхода непропатченных серверов Exchange, поскольку их труднее обнаружить по сравнению с веб-шеллами. Вредоносные расширения спрятаны глубоко внутри скомпрометированных серверов и их очень сложно обнаружить. При установке в правильном месте и использовании той же структуры, что и легитимные модули, расширения предоставляют киберпреступнику совершенный и надежный механизм сохраняемости. Обычно вредоносные расширения запускаются после развертывания веб-шелла в качестве первой полезной нагрузки в атаке. Модуль IIS развертывается позже, чтобы обеспечить незаметный и устойчивый к обновлениям доступ к взломанному серверу. После развертывания вредоносные модули IIS позволяют злоумышленнику извлекать учетные данные из системной памяти, собирать информацию из сети жертв и доставлять дополнительные полезные нагрузки. В период с января по май 2022 года в ходе атаки на серверы Microsoft Exchange злоумышленники развернули вредоносные расширения IIS, чтобы получить доступ к почтовым ящикам электронной почты жертв, удаленно выполнять команды и украсть конфиденциальные данные. Согласно отчету Microsoft , после разведки, сброса учетных данных и установления метода удаленного доступа киберпреступники использовали специальный бэкдор IIS «FinanceSvcModel.dll», который мог выполнять операции управления Exchange, такие как перечисление установленных учетных записей почтовых ящиков и экспорт почтовых ящиков для эксфильтрации. По словам Microsoft, модули IIS не являются распространенным форматом для бэкдоров, особенно по сравнению с типичными угрозами веб-приложений, такими как веб-оболочки, и поэтому их легко пропустить при стандартном мониторинге файлов.
Для защиты от атак с использованием вредоносных модулей IIS корпорация Майкрософт рекомендует клиентам принять следующие меры:
поддерживать актуальность своих серверов Exchange;
поддерживать включенными антивирусные программы;
проверять конфиденциальные роли и группы;
ограничивать доступ к виртуальным каталогам IIS;
устанавливать приоритет предупреждений;
проверять файлы конфигурации и bin-папки.
Ранее сообщалось, что злоумышленник атаковал серверы Microsoft Exchange , принадлежащие правительственным и военным организациям Европы, Ближнего Востока, Азии и Африки. Бэкдор SessionManager позволил хакеру сохранять постоянный и скрытый доступ к IT-инфраструктуре организации.