Eylül 2025’te, yönetilen bir tespit ve yanıt sağlayıcısı olan Texas A&M University System (TAMUS) Siber Güvenlik, Elastic Security Labs ile işbirliği içinde, Çince konuşan bir tehdit aktörünün gerçekleştirdiği karmaşık bir istismar sonrası kampanyayı ortaya çıkardı.
Saldırganlar bu yöntemi kullanarak TOLLBOOTH adında kötü amaçlı bir IIS modülü kurdu, Godzilla çatallı bir web kabuğu çerçevesi dağıttı, GotoHTTP uzaktan izleme ve yönetim aracından yararlandı ve varlıklarını gizlemek için bir çekirdek modu kök seti tanıttı.
REF3927 olarak adlandırılan bu küme, halihazırda birden fazla sektördeki yüzlerce sunucuyu etkilemiş olan küresel bir kampanyayı temsil ediyor.
İlk uzlaşma, ASP.NET ViewState mekanizmasına yönelik seri durumdan çıkarma saldırılarından kaynaklandı. ValidationKey ve DecryptionKey’den oluşan ASP.NET makine anahtarları ViewState’i ve kimlik doğrulama çerezlerini korumak için kullanılır.
Grup, Microsoft belgeleri ve StackOverflow gibi kaynaklarda herkese açık olarak yayınlanan ASP.NET makine anahtarlarını yeniden kullanan, yanlış yapılandırılmış IIS web sunucularından yararlandı.
Bu anahtarlar açığa çıktığında, bir saldırgan seri durumdan çıkarmanın ardından rastgele kod çalıştıran serileştirilmiş veriler oluşturabilir.
Analizimizde, açık kaynaklı ysoserial.net aracı tarafından oluşturulan Base64 kodlu ViewState yükünü içeren bir POST isteği, kod yürütmeyi başarıyla tetikledi ve bu da güvenlik açığı bulunan sunucularda HTTP 500 Dahili Sunucu Hatasına neden oldu.
Geçen ay, Elastic Security Labs ve Texas A&M System Cybersecurity, yanlış yapılandırılmış bir Windows IIS sunucusunu içeren bir izinsiz girişi araştırdı.
Bu yöntem, Microsoft’un Şubat ayında ve AhnLab’ın Nisan ayında yayınladığı raporları yansıtıyor ve REF3927’nin aynı kötü amaçlı zincirin evrimi olduğunu öne sürüyor.
Uzlaşma Sonrası Etkinlik ve Araç Kullanma
İlk erişimin ardından tehdit aktörü birden fazla kalıcılık ve kaçınma aracı kullandı. Godzilla çatallı bir web kabuğu çerçevesi olan Z-Godzilla_ekp, bellek içi derleme yürütme, AMSI atlama ve HTTP POST parametreleri içinde gizlenmiş şifreli iletişim sağladı.
Yeni Windows hesapları oluşturma girişimleri başarısız olduğunda aktör, kontrolü sürdürmek için meşru GotoHTTP RMM aracını yükledi ve tüm yönetim trafiğini standart web bağlantı noktaları üzerinden yönlendirdi. Kimlik bilgilerini Mimikatz aracılığıyla boşaltma çabaları, Elastic Defend’in uç nokta korumaları tarafından engellendi.
Etkileşimli yükseltme engellendiğinde grup, hem yerel hem de .NET yönetimli varyantlarda bulunan, trafiği ele geçiren bir IIS modülü olan TOLLBOOTH’u devreye aldı.
TOLLBOOTH, saldırganın kontrol ettiği altyapıdan kurban başına yapılandırma dosyalarını dinamik olarak alır, arama motoru sıralamalarını yükseltmek için SEO gizleme uygular ve sabit kodlanmış bir web kabuğunu aynı anda açığa çıkarır. /mywebdll.
Modül, arama tarayıcıları ile insan ziyaretçiler arasındaki davranışı böler, anahtar kelimeyle doldurulmuş bağlantı gruplarını botlara sunar ve kullanıcıları kötü amaçlı açılış sayfalarına yönlendirir.
Sürücü nesnesini ve ana işlevler gibi ilgili alanları doldurmadan önce dahili bileşenlerini hazırlamak.
Yöneticiler ayrıca dosyaları, işlemleri ve kayıt defteri anahtarlarını gizlemek için Doğrudan Çekirdek Nesne İşleme (DKOM) ve kayıt defteri tabanlı yapılandırma işaretlerini kullanan, HIDDENDRIVER adı verilen açık kaynaklı Gizli kök kitinin değiştirilmiş bir sürümünü yükleme girişimlerini de keşfetti.
Validin ile yapılan işbirliği, küresel tarama altyapısını kullanarak dünya çapında 571 aktif TOLLBOOTH enfeksiyonunu tespit etti. Kurbanlar birden fazla coğrafyaya ve sektöre yayılmıştı; bu da hedeflenmemiş, otomatikleştirilmiş bir sömürü stratejisine işaret ediyordu.
Şunu arar: PspCidTable işlevi sökerek adres PsLookupProcessByProcessIdZydis kütüphanesi ile ve onu ayrıştırarak.
Özellikle, Çin ana karasında hiçbir kurban bulunmaması, kendi kendine uyguladığı bir coğrafi sınırlama taktiğini yansıtıyor. Düzeltilen sunucularda tekrarlanan yeniden bulaşmalar, kötü amaçlı yapıları temizlemenin yanı sıra açıkta kalan makine anahtarlarını döndürmenin önemini vurguluyor.
İyileştirme iki yönlü bir yaklaşım gerektirir: ilk olarak, kötü amaçlı yazılımları, modülleri ve rootkit’leri kaldırarak etkilenen sunucuları bilinen iyi bir duruma geri yükleyin; ikincisi, IIS Manager gibi araçlar aracılığıyla yeni, kriptografik olarak güvenli ASP.NET makine anahtarları oluşturun ve yapılandırın.
Kuruluşlara, yeniden kullanılan makine anahtarları için IIS yapılandırmalarını denetlemeleri, güçlü ViewState doğrulamasını etkinleştirmeleri ve çekirdek sürücüsü yükleri ve yetkisiz modül kurulumları konusunda uyarı vermek için uç nokta algılama çözümlerini dağıtmaları önerilir.
REF3927 kampanyası, basit bir yapılandırma hatasının nasıl tüm sunucunun tehlikeye atılmasına yol açabileceğinin altını çiziyor.
Saldırganlar, açık kaynaklı araçları, meşru RMM yazılımını ve özel çekirdek sürücülerini entegre ederek etkili ve kaçınılabilir bir izinsiz giriş seti oluşturdular.
Kamuya açık IIS ortamlarının savunucuları, gelecekte benzer istismarları engellemek için güvenli makine anahtarı yönetimine, ViewState bütünlüğünün sürekli izlenmesine ve güçlendirilmiş uç nokta savunmalarına öncelik vermelidir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.