Siber güvenlik uzmanları, hükümetleri gizlice dinleyen ve e-ticaret işlemlerini hedef alan IIS (web Information Services) web sunucusu tehditleri keşfetti. Tehditlerden Güneydoğu Asya’da yer alan hükümetler, Kanada, Vietnam ve Hindistan’daki şirketler etkilendi. ABD, Yeni Zelanda, cenup Kore ve öteki ülkelerdeki şirketlerin de hedeflendiği açıklandı.
Araştırmacılar daha önce tespit edilmemiş, 10 tane kötü fakatçlı yazılım ailesinden oluşan bir set keşfetti. Bu set, IIS (web Information Services) web sunucusu yazılımı için kullanılan kötü amaçlı uzantılardan oluşuyor. Kötü amaçlı yazılım hükümetlerin posta kutularını ve e-ticaret kanalında kredi kartı işlemlerini hedef alıyor. Başka kötü amaçlı yazılımların dağıtımına da katkıda bulunuyor ve gizlice dinlemeyi ve sunucu mesajşimlerine zarar vermeyi fakatçlıyor. ESET telemetrisine ve şirketin araştırmacılarının bu arka kapıların varlığını algılamak için gerçekleştirmiş olduği internet genelindeki ek taramaların sonuçlarına nazaran bu IIS arka kapılardan en az beşi, 2021 senesinde Microsoft Exhange e-posta sunucularında ortaya çıkan açıklar aracılığı ile yayılıyor.
IIS kötü fakatçlı yazılımının siber suç, siber casusluk ve arama motoru optimizasyonu dolandırıcılığında iyi mi kullanıldığını göstermek üzere üç kötü fakatçlı yazılım ailesi (IIStealer, IISpy ve IISerpent) uzmanlar tarafından detaylı bir şekilde incelendi. IIS kötü amaçlı yazılımları siber suç, siber casusluk ve arama motoru optimizasyonu dolandırıcılığında kullanılan çeşitli tehdit türlerinden oluşuyor. Bu tehditlerin aslolan amacı ihlal edilen IIS sunucusuna gelen HTTP taleplerini ele geçirmek ve bu taleplere (bazılarına) sunucunun verdiği cevapı etkilemek. IIS web sunucuları, siber suç ve siber casusluk amacıyla çeşitli kötü amaçlı aktörler tarafınca hedef alınıyor.
ESET, IIS kötü amaçlı yazılımın çalıştığı beş ana mod belirledi:
IIS arka kapıları sayesinden saldırganlar IIS kurulu sunucuları uzaktan kontrol edebiliyor.
IIS infostealer’lar sayesinde saldırganlar ele geçirdikleri sunucu ile ziyaretçileri arasındaki trafiği engelleyebilir ve kimlik ve ödeme bilgileri benzer biçimde verileri çalabilir.
IIS enjektörleri, kötü fakatçlı içinde ne olduğu yaymak üzere sitenin ziyaretçilerine gönderilen HTTP yanıtlarını değiştirir.
IIS proxy’leri ele geçirilen sunucuyu başka zararlı yazılım ailelerini yönetmek için bir komuta kontrol sunucusu haline dönüştürebilir.
SEO için IIS zararlısı, SERP algoritmalarını manipüle etmek için arama motorlarına gönderilen içeriği değiştirir ve saldırganların istedikleri sitelerin arama sonuçlarında üstte görüntülenmelerini sağlar.
ESET araştırmacısı Zuzana Hromcová yazılımın web geliştiricileri için genişletilebilirlik sağlamak üzere tasarlanan modüler mimarisinin, saldırganlar için yararlı bir araç olabileceğini ifade ederek şu bilgileri paylaştı: “IIS sunucularında güvenlik yazılımlarının kullanımı halen çok azca olduğundan, saldırganlar uzun süre fark edilmeden çalışmaya devam edebiliyor. Ziyaretçilerinin doğrulama ve ödeme bilgileri dahil olmak üzere verilerini korumak isteyen tüm web portalları tarafından bu konum dikkate alınmalıdır. Ek olarak web üzerinden Outlook kullanan müesseselar, OWA IIS’e bağlı olduğundan ve casusluk için önemli bir hedef olabileceğinden bu konuda daha dikkatli olmalıdır”
Şirketin Araştırma Birimi, IIS kötü fakatçlı yazılım ataklarını etkilerini azaltmada yardımcı olabilecek şu tavsiyelerde bulundu.
IIS sunucularının yönetiminde benzersiz, sağlam şifreler ve çok faktörlü kimlik doğrulama kullanmalıdır
İşletim sisteminin güncel olmasına dikkat edin
İnternet uygulamaları için güvenlik duvarı ve sunucu için uç nokta güvenlik çözümü kullanın,
Kurulan tüm uzantıların yasal olduğunu doğrulamak üzere IIS sunucu yapılandırmasını tertipli olarak kontrol edin.
