Yakın tarihli bir siber saldırı dalgası, Badiis kötü amaçlı yazılımları dağıtan tehdit aktörleri tarafından Microsoft Internet Bilgi Hizmetleri (IIS) sunucularının sömürülmesini ortaya koydu.
Çince konuşan gruplara atfedilen bu kampanya, arama motoru optimizasyonunu (SEO) sıralamalarını değiştirmek ve kötü niyetli içeriği dağıtmak için IIS güvenlik açıklarından yararlanır.
Saldırganlar, Hindistan, Tayland ve Vietnam da dahil olmak üzere Asya’daki kuruluşları diğer bölgelere yayılan organizasyonları hedef aldı.
Bu siber suçluların temel amacı, SEO sahtekarlığı ve kullanıcıları yasadışı kumar web sitelerine veya kötü amaçlı sunuculara yönlendirerek finansal kazançtır.
IIS sunucularından ödün vererek, HTTP yanıtlarını değiştiren kötü amaçlı yazılımlar, web içeriğini manipüle etmelerini ve yetkisiz reklamlar veya kimlik avı şemaları sunmalarını sağlar.
Bu taktik sadece meşru web hizmetlerinin bütünlüğünü tehlikeye atmakla kalmaz, aynı zamanda kullanıcıları da önemli siber güvenlik risklerine maruz bırakır.
Teknik sömürü ve mağdur
BADIIS kötü amaçlı yazılım, Satılmamış IIS sunucularından yararlanarak çalışır. Kurulduktan sonra, iki birincil modda çalışır:
- SEO dolandırıcılık modu: Kötü amaçlı yazılım, arama motorlarından gelen trafiği tanımlamak için HTTP başlıklarını engeller ve kullanıcıları meşru sayfalar yerine hileli kumar sitelerine yönlendirir.
- Enjektör modu: Şüphesiz kullanıcıları kötü amaçlı yazılım veya kimlik avı şemalarını barındıran saldırgan kontrollü alanlara yönlendirerek HTTP yanıtlarına gizlenmiş JavaScript’i gizler.
Kampanya, devlet kurumları, üniversiteler, teknoloji şirketleri ve telekomünikasyon sağlayıcıları da dahil olmak üzere çeşitli sektörleri etkiledi.
Özellikle, mağdurların coğrafi dağılımı, tehlikeye atılan sunucuların fiziksel yerinin ötesine uzanır ve bu enfekte olmuş sistemlere diğer bölgelerden erişen kullanıcıları etkilemektedir.
Koordineli bir saldırının göstergeleri
Kötü amaçlı yazılım örneklerinin trend mikro analizi, onları Çince konuşan tehdit aktörlerine bağlayan farklı özellikleri ortaya koymaktadır.
Bunlar, basitleştirilmiş Çince olarak yazılmış alan adları ve kod kalıplarını içerir.
Saldırganlar ayrıca kötü niyetli IIS modüllerinin otomatik olarak kurulumu için toplu beterler kullanır ve bu da tehlikeye atılan sistemlerde kalıcılık sağlar.
Bu kampanya, yıllar içinde gözlemlenen IIS hedefli saldırıların daha geniş bir eğiliminin bir parçasıdır.
IIS sunucuları ek işlevlerin kolay entegrasyonunu ve kötüye kullanılmasını sağlayan modüler mimarileri nedeniyle siber suçlular için özellikle çekicidir.
IIS sunucularını kullanan kuruluşların bu tür tehditlere karşı savunmak için proaktif güvenlik önlemleri almaları istenir:
- Bilinen güvenlik açıklarını kapatmak için IIS sunucularını düzenli olarak güncelleyin ve yama.
- Beklenmedik modül kurulumları veya sunucu davranışındaki değişiklikler gibi olağandışı etkinlikleri izleyin.
- Güçlü şifreler ve çok faktörlü kimlik doğrulama kullanarak yönetimsel erişimi kısıtlayın.
- Ağ trafiğini kontrol etmek ve maruziyeti azaltmak için güvenlik duvarları kullanın.
- Kötü amaçlı yazılım aktivitesini gösteren anomalileri tespit etmek için sürekli günlük analizi yapın.
IIS sunucularının devam eden sömürüsü, sağlam siber güvenlik uygulamalarının öneminin altını çizmektedir.
Saldırganlar yöntemlerini yenilemeye devam ettikçe, kuruluşlar uyanık kalmalı ve Web altyapılarını Badiis gibi ortaya çıkan tehditlere karşı güvence altına almalıdır.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free