Saldırganların, Windows IIS web sunucularına sızmak için herkese açık ASP.NET makine anahtarlarını kullandığı sinsi bir bilgisayar korsanlığı kampanyası.
Web uygulamalarını korumayı amaçlayan bu anahtarlar, Microsoft belgeleri ve çevrimiçi forumlar gibi yerlerde bulundu ve bilgisayar korsanlarının sunucuları zararlı kod çalıştırmaları için kandırmasını kolaylaştırdı.
REF3927 olarak takip edilen grup, daha sonra trafiği ele geçirmek ve sahte arama sıralamaları yoluyla para kazanmak için TOLBOOTH adlı kötü amaçlı bir araç yükledi.
Bu yeni değil; Microsoft, benzer hileleri ilk kez Şubat 2025’te fark etti ve AhnLab, Nisan ayında daha fazla ayrıntı bildirdi. Uzmanlar, bunun Çince konuşan bilgisayar korsanlarının belirli hedefler seçmeden küçük sitelerden büyük şirketlere kadar dünya çapındaki sunuculara saldıran aynı kişiler olduğunu düşünüyor.
Tarama firması Validin ile birlikte çalışan Elastic Security Labs, ülkeler genelinde 570’den fazla virüslü sunucu buldu, ancak Çin’de hiçbiri bulunamadı, bu da muhtemelen ülke içinde sorun yaşanmasını önleyecek.
Kötü Amaçlı Gişe Aracı
Bilgisayar korsanları, ASP.NET makine anahtarlarının, oturum açma bilgileri gibi kullanıcı verilerini şifrelemeye yönelik özel kodların yenilenmek yerine halka açık yerlerden kopyalandığı, zayıf kurulumlara sahip IIS sunucularını bularak işe başlıyor.
Bu anahtarlar, web sayfalarının tıklamalar arasında kullanıcı girişlerini hatırlamasının gizli bir yolu olan ViewState gibi şeylerin güvenliğinin sağlanmasına yardımcı olur.
Ancak anahtarlar sızdırılırsa, saldırganlar kötü kodla dolu bir ViewState mesajını taklit edebilir ve bunu sunucuda komut çalıştırmak için basit bir web isteği yoluyla gönderebilir.
Bilgisayar korsanları içeri girdikten sonra, normal web sohbetleri gibi trafiği gizlerken komutları çalıştırmalarına, şifreleri çalmalarına ve ağları taramalarına olanak tanıyan Z-Godzilla_ekp adlı çatallı bir sürüm olan Godzilla aracını temel alan bir web kabuğu bırakıyor.
Yönetici hesapları oluşturmayı ve daha fazla oturum açmak için Mimikatz’ı kullanmayı denediler ancak Elastic gibi savunmalar bazı hareketleri durdurdu.
Gizli kalmak için, dosyaları, işlemleri ve kayıt defteri girişlerini sistemin derinliklerine gömen Hidden adlı açık kaynaklı bir projeden ince ayarlanmış bir rootkit yüklediler.
Elastic Security Labs, bu bilgisayar korsanlarının en büyük kazancının, IIS için zararlı içeriği arama motorlarından gizleyen ve sıradan kullanıcılara önemsiz şeyler gösteren sinsi bir eklenti olan TOLLBOOTH olduğunu söyledi.
Anahtar kelimeyle doldurulmuş sayfaları Googlebot gibi botlara sunmak için tarayıcı ayrıntılarını kontrol eder, sahte siteleri arama sonuçlarında öne çıkararak dolandırıcı sayfalara tıklama yönlendirir.
Bu SEO hilesi, birbirine bağlanan virüslü sitelerden oluşan bir ağ oluşturarak genel sıralamayı yükseltir. TOLLBOOTH ayrıca dosyaları yüklemek ve komutları çalıştırmak için yerleşik bir web kabuğunun yanı sıra bilgisayar korsanlarının sunucu sağlığını kontrol etmesi için hata ayıklama araçlarına da sahiptir.
Ayarları c’deki bir kontrol sunucusundan çeker.[.]cseo99.com, sırları kurbanın makinesindeki geçici klasörlerde saklıyor. Bir vakada Texas A&M ekibi, yönetilen tespit hizmetleri sırasında durumu erken yakaladı ve tam devralmayı durdurdu.
Bu saldırı, Çin dışında her yerdeki sunucuları vurarak finanstan teknolojiye kadar birçok sektörü etkileyerek, zayıf anahtarlar için otomatik taramaların kullanıldığı geniş kapsamlı bir saldırı olduğunu gösterdi.
Pek çok kurban, temizlikten sonra makinenin anahtarlarını değiştirmeyi unutup kapıyı açık bıraktıkları için enfeksiyon yeniden kaptı. Bunu düzeltmek için yöneticilerin IIS’de yeni anahtarlar oluşturması, kötü amaçlı yazılımları temizlemesi ve tuhaf web trafiğini veya yeni modülleri izlemesi gerekir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
