APT 新组织利用 ASP.NET exploit 攻击微软 IIS 服务器
聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士
一个新型APT组织正在攻击位于美国的高级别公私实体,利用面向互联网的微软 IIS 服务器渗透进这些实体的网络。
以色列网络安全公司 Sygnia 发现了该攻击活动,并将该高阶且隐秘的活动称为 “螳螂“ 或 “TG2021”。研究人员表示,“TG2021 使用基于为 IIS 服务器构建的核心的、自定义的自定义恶意软件框架。该工具集完全不稳定、反射性地加载到受影响机器的内存中,在受影响目标上几乎不会留下任何迹象。该威胁行动者还通过另外一个隐秘后门和多个利用后模块实施网络侦察、提升权限并在网络中横向移动。
除了主动干扰记录机制并成功避开商用端点检测和响应 (EDR) 系统外,威胁行动者还利用 ASP.NET web 应用程序 exploit 初步站稳脚跟,通过执行复杂的植入 “NodellSWeb” 在服务器安装后门,加载自定义 DLLs 并拦截和处理服务器收到的HTTP 请求。
威胁行动者利用的漏洞包括:
Checkbox Survey RCE Exploit (CVE-2021-27852)
VIEWSTATE 反序列化 Exploit
Altserialization 不安全的反序列化
Telerik-UI Exploit(CVE-2019-18935和CVE-2017-11317)
有意思的是,Sygnia 公司对 TG1021 战术、技术和程序 (TTPs) 的调查发现了和 “复制粘贴攻陷 (Copy-Paste Compromises)“ 国家黑客组织之间的“重大重合之处”。澳大利亚网络安全中心 (ACSC) 在2020年6月详述了一起网络攻击活动通过利用位于 Telerik UI 和 IIS 服务器中的未修复缺陷攻击公开的基础设施。
研究人员表示,“‘螳螂’攻击西方两大主流市场中的公私实体,说明越来越多的网络犯罪分子正在利用复杂的国家攻击方法来攻击商业组织机构。持续的取证活动和及时的事件响应对于识别和有效防御类似网络攻击而言至关重要。”
推荐阅读
微软警告: Windows 服务器易受 IIS 资源耗尽 DoS 攻击
微软为.NET Core、ASP.NET Beta推出漏洞奖励计划
原文链接
https://thehackernews.com/2021/08/new-apt-hacking-group-targets-microsoft.html
题图:Pixabay License
文内图:hackernews
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
APT 新组织利用 ASP.NET exploit 攻击微软 IIS 服务器相关推荐
- BotenaGo 僵尸网络利用33个exploit 攻击数百万物联网设备
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 研究人员发现 BotenaGo 恶意软件僵尸网络使用30多个exploit,攻击数百万台路由器和物联网设备. BotenaGo 用Golang ...
- 雇佣黑客组织利用 3Ds Max 恶意软件攻击全球企业
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 安全公司Bitdefender 发现一个新型黑客组织正在利用隐藏在恶意 3Ds Max 插件中的恶意软件攻击全球企业. 3Ds Max ...
- 黑客利用SSH弱密码攻击控制Linux服务器,潜在目标约十万IP天
一.概述 本周腾讯安全服务中心接到客户求助,客户部署的腾讯御界高级威胁检测系统发现SSH服务失陷感知信息,该公司安全管理人员及时联络腾讯安全专家协助分析威胁来源. 腾讯安全工程师在征得客户同意后对客户 ...
- ASP.NET项目发布部署到locallhost“本地“IIS服务器
Part-one:将ASP.NET项目发布到本地IIS 工具\原料 vs2019 windows 10 一.将ASP.NET项目发布到本地 1.选中解决方案,点击鼠标"右键"-&g ...
- 人设倒了扶起来:Lazarus 组织利用含木马的IDA Pro 攻击研究员
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 被指为朝鲜国家黑客组织的 Lazarus 再次试图攻击安全研究员,这次使用的是含有木马的盗版热门逆向工程应用 IDA Pro. IDA Pro ...
- [转]利用ASP.NET 2.0创建自定义Web控件(1)
原址:http://hi.baidu.com/sjbh/blog/item/cc58fd1bd35d3ad2ad6e7593.html 简介 从使用基本的文本编辑器到创作标记页面,Web 开发已经 ...
- Metasploit(一) 利用 MS17-010 漏洞进行攻击
借助 metasploit 利用 MS17-010 漏洞进行攻击 Metasploit 简介 (简称:MSF) 经常被利用的端口 MS17-010利用流程 1. 存活判断 2. 端口扫描 3. 服务识 ...
- Java高危漏洞被再度利用 可攻击最新版本服务器
2019独角兽企业重金招聘Python工程师标准>>> 安全研究人员警告称,甲骨文在2013年发布的一个关键 Java 漏洞更新是无效的,黑客可以轻松绕过.这使得此Java高危漏洞可 ...
- 黑客组织利用El Machete窃取全球政府超过100G数据
网络间谍活动一直是热议的话题,各类媒体不乏频现各种网络间谍活动,尤其前几年更是"炒得火热".近期,网络间谍活动又"风生水起". 黑客组织利用El Machete ...
最新文章
- WF4.0实战(一):文件审批流程
- 交换数字(不用临时变量)
- Win2008R2配置WebDeploy发布网站
- 金中半日baoling游-----stoi
- 第二周 数据分析之展示 Matplotlib库入门
- lumen 分页_lumen 中实现分表
- 使用C#Visual Studio2015编写Android应用程序详细步骤
- Leetcode每日一题:56. I. 数组中数字出现的次数
- [ABP开源项目]--vue+vuex+vue-router+EF的权限管理系统
- effective c++ 跨编译单元之初始化次序 笔记
- 【HDU 5033】【经典单调栈问题】Building
- android4.0以上,利用耳机接听键实现自动接听,部分手机失败原因+解决方法(比如华为P7)
- delphi源码分析
- PJzhang:如何在裸奔的年代找到一些遮羞布
- royal tsx连接闪退_Mac上使用Royal TSX链接服务器
- 安卓机更新系统会卡吗_安卓手机系统会不会越更新越卡?
- tomcat问题——判断tomcat是否安装成功
- java 获取当前时间所在自然周起止时间及自然周中的每一天
- 手机安装linux模拟器教程,Ubuntu下安装Android模拟器
- python 知乎 合并 pdf_实例4:用Python提取不同PDF文件中的页面合并进新的PDF文件...