Uzaktan komut yürütmeye ve arama motoru optimizasyonu sahtekarlığına olanak tanıyan kötü amaçlı modülleri dağıtmak için onlarca yıllık güvenlik açıklarından yararlanan, Microsoft Internet Information Services (IIS) sunucularını hedef alan karmaşık bir siber saldırı kampanyası ortaya çıktı.
Ağustos sonu ve Eylül 2025’in başında ortaya çıkan operasyon, dünya çapındaki sunucuları tehlikeye atmak için kamuya açık ASP.NET makine anahtarlarından yararlanıyor ve devlet kurumları, küçük işletmeler ve e-ticaret platformları da dahil olmak üzere çeşitli sektörlerde yaklaşık 240 sunucu IP adresini ve 280 alan adını etkiliyor.
Saldırganlar, 2003’ten bu yana halka açık olan makine anahtarlarını kullanarak ASP.NET görünüm durumu seri durumdan çıkarma işlemindeki kritik bir zayıflıktan yararlanıyor.
Başlangıçta bir Microsoft Geliştirici Ağı yardım sayfasında yapılandırma örnekleri olarak yayınlanan bu şifreleme sırları, bunları üretim ortamlarında kelimesi kelimesine uygulayan sayısız yönetici tarafından yanlışlıkla benimsendi.
Microsoft daha önce kod depolarında ve programlama forumlarında bu tür 3.000’den fazla açıkta kalan makine anahtarını tespit ederek önemli bir savunmasız hedef havuzu oluşturmuştu.
Saldırganlar bu anahtarları aldıktan sonra, herhangi bir ek kimlik bilgisi gerektirmeden hedeflenen sunucularda rastgele kod yürütmek için görünüm durumu verilerini manipüle edebilirler.
HarfangLab analistleri, ele geçirilen IIS sunucularının rutin güvenlik izlemesi sırasında HijackServer olarak adlandırılan kötü amaçlı modülü tespit etti.
Enfeksiyon zinciri, ASP.NET uygulamalarını hedef alan POST istekleri aracılığıyla ilk yararlanmadan başlayarak oldukça karmaşık bir yapıya sahiptir.
Güvenliği ihlal edilmiş sistemlerden gelen günlükler, Çince dil ayarlarının (zh-tw) savunmasız uygulamaların kök sayfalarına isabet ettiği çok sayıda şüpheli isteği ortaya çıkardı.
Saldırganlar daha sonra sys-tw-v1.6.1-clean-log.zip olarak arşivlenen, kötü amaçlı IIS modüllerinin 32 bit ve 64 bit çeşitlerini, kurulum komut dosyalarını ve açık kaynaklı Hidden projesinden türetilen özelleştirilmiş bir kök seti içeren kapsamlı bir araç setini devreye aldı.
.webp)
İlk erişimin ardından tehdit aktörleri, gizli yerel yönetici hesapları oluşturmak için EfsPotato ve DeadPotato olarak bilinen ayrıcalık yükseltme tekniklerini kullandı.
Daha sonra sırasıyla ScriptsModule ve IsapiCachesModule adlı IIS modülleri olarak iki kötü amaçlı DLL dosyası (scripts.dll ve önbellek.dll) yüklediler.
Bu modüller, HTTP isteklerinin en erken işleme aşamasında çalışır ve meşru uygulamalar yanıt vermeden önce trafiğe müdahale eder.
Kurulum süreci, C:\Windows\Temp\_FAB234CD3-09434-8898D-BFFC-4E23123DF2C konumunda bir çalışma dizini oluşturmayı ve modülleri, c.cseo99 adresindeki hazırlama sunucularından ek bileşenler indirecek şekilde yapılandırmayı içeriyordu.[.]com ve f.fseo99[.]com.
Rootkit Dağıtımı Yoluyla Kalıcılık ve Tespitten Kaçınma
Saldırganlar, varlıklarını gizlemek için özelleştirilmiş bir Windows çekirdek sürücüsü rootkitini dağıtarak gelişmiş operasyonel güvenlik farkındalığı sergilediler.
Kamuya açık Gizli rootkit’in değiştirilmiş bir versiyonu olan Wingtb.sys sürücüsü, Anneng Electronic Co. Ltd.’nin süresi dolmuş bir sertifikasını kullanan imzalı bir çekirdek bileşeni olarak çalışır.
Sertifikanın geçerlilik süresinin 2014 yılında dolmuş olmasına rağmen, Microsoft’un Temmuz 2015’ten önce verilen sertifikalara yönelik sürücü imzalama politikası istisnaları nedeniyle modern Windows sistemlerinde yüklenebilir olmaya devam etmektedir.
Rootkit, Çince harf çevirisine çevrilmiş komutlara sahip eşlik eden bir komut satırı aracı WingtbCLI.exe aracılığıyla yönetilen, dosyalar, kayıt defteri anahtarları ve işlemler için kapsamlı gizleme yetenekleri sağlar.
Kurulum sonrası komut dosyası lock.bat, dağıtılan IIS modülü dosyaları, değiştirilmiş uygulama yapılandırma dosyaları ve rootkit’in kayıt defteri hizmet anahtarı dahil olmak üzere kritik yapıları sistematik olarak gizler.
Belki de en önemlisi, komut dosyası şu komutu kullanarak tüm Windows Olay günlüğü dosyalarının kapsamlı bir şekilde silinmesini gerçekleştirir: for /f "tokens=*" %%1 in ('wevtutil el') do wevtutil cl "%%1".
Bu gürültülü adli tıp karşıtı teknik, rootkit kullanmanın gizli yaklaşımıyla çelişiyor ve potansiyel olarak operasyonel güvenlik tutarsızlıklarına veya önceden paketlenmiş araçları kullanan daha az deneyimli operatörlerin çalışmasına işaret ediyor.
HijackServer modülünün birincil amacı, kripto para birimi yatırım planları için arama motoru optimizasyonu sahtekarlığına odaklanmış gibi görünüyor.
Google’ın web tarayıcısı, güvenliği ihlal edilmiş sunuculardan sayfalar istediğinde modül, şüpheli kripto para birimi web sitelerine giden çok sayıda bağlantı içeren HTML içeriğini dinamik olarak oluşturur.
Oluşturulan bu sayfalar meşru Google arama sonuçlarında başarılı bir şekilde görünüyor ve bu da zehirlenme tekniğinin etkinliğini gösteriyor.
Ancak modül aynı zamanda /scjg URL yolu üzerinden kimlik doğrulaması yapılmamış uzaktan komut yürütme yeteneğini de ortaya çıkararak, orijinal saldırganlarla koordineli olup olmadığına bakılmaksızın herhangi bir üçüncü tarafın yararlanabileceği kalıcı bir arka kapı oluşturur.
Bu işlevsellik, finansal amaçlı SEO sahtekarlığı olarak görünebilecek durumu, potansiyel casusluk etkileriyle birlikte çok daha ciddi bir güvenlik ihlaline dönüştürür.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
