Un grupo desconocido de delincuentes están atacando últimamente servidores web de Microsoft IIS haciendo uso de múltiples vulnerabilidades existentes en ASP.NET
La compañía de ciberseguridad israelí Sygnia ha detectado una campaña de malware contra servidores Microsoft IIS. El nombre con el que se ha bautizado el grupo que se encuentra tras la campaña es «Praying Mantis«, aunque también se ha utilizado «TG2021«.
Para el acceso al sistema, los atacantes explotan diferentes vulnerabilidades de ASP.NET, entre las que se encuentran las identificadas por los siguientes CVE: CVE-2021-27852, CVE-2019-18935 y CVE-2017-11317. Gracias a ellas, los atacantes pueden ejecutar su propio código en el sistema realizando peticiones HTTP al servidor.
A través de estas peticiones, los atacantes pueden cargar de forma «reflectiva» una DLL maliciosa que actúa como cargador del resto de malware en las etapas siguientes a la post-explotación (Reflective Loader DLL).
Con esta DLL cargada de forma «reflectiva», el atacante puede utilizarla para cargar nuevas DLL que contengan funcionalidad adicional. De hecho, los atacantes han separado la funcionalidad en diferentes DLLs (módulos) que se cargan y ejecutan cuando el atacante los necesita en las diferentes tareas de post-explotación. Algunos de estos módulos permiten a los delincuentes realizar tareas de reconocimiento de la red interna, elevar privilegios en el sistema infectado o moverse a otros dispositivos de la red interna.
Analizando su funcionamiento podemos observar cómo sus desarrolladores han puesto un gran interés en ocultar la actividad de este malware, tratando de evadir EDRs y dejando el mínimo rastro posible en el sistema infectado, para reducir las posibilidades de detección lo máximo posible.