新的APT黑客组织利用ASP.NET漏洞攻击Microsoft IIS服务器

作为一系列有针对性的网络入侵攻击的一部分，一个新的强大而持久的威胁参与者一直在瞄准美国主要的知名公共和私人实体，利用面向互联网的 Microsoft Internet 信息服务 ( IIS ) 服务器渗透他们的网络。

识别出该活动的以色列网络安全公司 Sygnia 正在追踪这个名为“螳螂”或“TG2021”的先进、隐蔽的对手。

“TG1021 使用定制的恶意软件框架，围绕一个通用核心构建，为 IIS 服务器量身定制。该工具集是完全易失的，会反射性地加载到受影响机器的内存中，并且在受感染的目标上几乎没有留下任何痕迹，”研究人员说。“威胁行为者还使用一个额外的隐蔽后门和几个后利用模块来执行网络侦察、提升特权和在网络内横向移动。”

除了展示通过主动干扰日志记录机制和成功规避商业端点检测和响应 (EDR) 系统来避免检测的重大努力之外，已知威胁行为者还利用 ASP.NET Web 应用程序漏洞利用库来获得通过执行一个名为“NodeIISWeb”的复杂植入程序来初始立足点和后门服务器，该植入程序旨在加载自定义 DLL 以及拦截和处理服务器收到的 HTTP 请求。

攻击者利用的漏洞包括：

• 复选框调查 RCE 漏洞 ( CVE-2021-27852 )
• VIEWSTATE 反序列化利用
• Altserialization 不安全的反序列化
• Telerik-UI 漏洞利用（CVE-2019-18935和CVE-2017-11317）

有趣的是，Sygnia 对 TG1021 的战术、技术和程序 (TTP) 的调查发现了与国家赞助的名为“复制粘贴妥协”的演员的那些“主要重叠” ，正如澳大利亚网络安全中心发布的一份咨询报告中所详述的（ ACSC) 于 2020 年 6 月，描述了主要通过使用 Telerik UI 和 IIS 服务器中未修补的缺陷，针对面向公众的基础设施的网络活动。但是，尚未做出正式归属。

研究人员表示：“据观察，螳螂在西方两大市场以知名的公共和私人实体为目标，这体现了网络犯罪分子使用复杂的民族国家攻击方法瞄准商业组织的日益增长的趋势。” “持续的取证活动和及时的事件响应对于识别和有效保护网络免受类似威胁行为者的攻击至关重要。”