Praying Mantis, el grupo de hacking que infecta con malware los servidores Windows IIS

Expertos en ciberseguridad reportan la detección de un nuevo grupo cibercriminal desplegando severos ataques contra servidores web Microsoft IIS empleando exploits en aplicaciones ASP.NET con la finalidad de instalar un backdoor y acceder a las redes internas de las organizaciones afectadas. Este grupo ha sido apodado como Praying Mantis y es seguido de cerca por los investigadores de la firma de seguridad Sygnia.

Los investigadores mencionan que estos ataques se dirigen a organizaciones prominentes y comprometieron sus redes al explotar servidores conectados a Internet”. Para estos ataques, Praying Mantis se basó en exploits conocidos que les permitieron generar persistencia en los servidores IIS que ejecutaban aplicaciones ASP.NET obsoletas.

En los ataques de este grupo pueden observarse dos etapas principales: el primer paso consiste en la entrega del malware NodeIISWeb, diseñado para implantar un backdoor en el servidor IIS objetivo. Este malware también contiene una funcionalidad para interceptar y manejar las solicitudes HTTP recibidas por el servidor; en una segunda etapa los hackers comienzan a propagarse a través de la red objetivo empleando varios módulos post-exploit.

Los expertos también mencionan que los ataques de Praying Mantis se basan en cuatro exploits para servidores IIS y aplicaciones web de Windows:

  • Exploit RCE de Checkbox Survey (CVE-2021-27852)
  • VIEWSTATE Exploit de deserialización
  • Dos exploits dirigidos a Telerik-UI para el componente ASP.NET AJAX (CVE-2019-18935, CVE-2017-11317)

Sygnia agrega que el modo de operación de Praying Mantis sugiere que se trata de actores de amenazas experimentados y muy conscientes de las capacidades de detección anti malware en los sistemas afectados.

Los expertos también mencionan que las técnicas y procedimientos de estos hackers son muy similares a los detectados en una campaña de hacking contra organizaciones públicas y privadas en Australia, presuntamente desplegada por actores de amenazas chinos. Esta actividad maliciosa también podría ser atribuida al grupo de hacking identificado como Blue Mockingbird, reconocido por sus complejos esquemas de cryptojacking.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).