Yeni APT Hacking Grubu Microsoft IIS Sunucularını Hedefliyor

Yeni, son derece yetenekli ve kalıcı bir tehdit aktörü, ağlarına sızmak için internete bakan Microsoft Internet Information Services (IIS) sunucularını kullanarak, bir dizi hedefli siber saldırı planlıyor. Saldırısının bir parçası olarak ABD'deki büyük yüksek profilli kamu ve özel kuruluşları hedef alıyor. Kampanyayı tanımlayan İsrailli siber güvenlik firması, "TG2021" takma adı altında gelişmiş, gizli düşmanı izliyor.

TG1021, ortak bir çekirdek etrafında oluşturulmuş, IIS sunucuları için özel olarak hazırlanmış, özel yapım bir kötü amaçlı yazılım çerçevesi kullanıyor. Kullanılan yazılım araç seti tamamen görünmez olup, etkilenen makinenin belleğine yansıtıcı bir şekilde yüklenir ve virüs, araştırmacıların bulgularına göre neredeyse hiç iz bırakmamaktadır. Saldırgan ağda keşif yaparak zararlı yazılımları yüklemek ve ağda fark edilmemek için gizili bir arka kapı oluşturmaktadır. Bununla birlikte saldırganın, log tutma mekanizmalarına aktif olarak müdahale ederek, yanıt sistemlerinden başarılı bir şekilde tespitten kaçınmaya çalıştığı belirlenmiştir. Saldırgan, özel DLL'leri yüklemek ve ayrıca sunucu tarafından alınan HTTP isteklerini engellemek ve işlemek için tasarlanmış "NodeIISWeb" adlı karmaşık bir implantı yürüterek, sunuculara ilk dayanak noktası ve arka kapı verdiği görülmüştür. Bu tip saldırılardan korunmak için almamız gereken tedbirlerin bazıları; • Tehditler farklı ağ noktalarından kullanıcılara ulaşabildiği için, Tümleşik Güvenlik Teknolojileri ile kapsamlı koruma sağlanmalıdır. • Sandbox gibi Zeroday saldırılarını önleyecek ürünler sistemde aktif kullanılmalıdır. • Zeroday ataklarına karşı son kullanıcıları bilinçlendirmek adına eğitimler verilmelidir.





Detaylı bilgi için ticket@zerosecond.com.tr adresinden uzmanlarımıza başvurabilirsiniz.

Son yazılar
Arşiv