Tehdit aktörleri, ziyaretçilerin kötü niyetli bir sahte yükleyici indirmelerini isteyen Süresi Dolmuş Sertifika Bildirimi sayfalarını eklemek için Windows IIS sunucularından ödün veriyor.
Internet Information Services (IIS), Windows 2000, XP ve Server 2003'ten beri tüm Windows sürümleriyle birlikte verilen Microsoft Windows Web Server yazılımıdır.
Kötü Amaçlı Sertifika Sonrası Hata sayfalarında gösterilen mesaj: "Potansiyel bir güvenlik riski tespit etti ve geçişi [Sitename] 'na genişletmedi. Bir güvenlik sertifikasının güncellenmesi, bu bağlantının başarılı olmasına izin verebilir. Net :: err_cert_out_of_date."
Malwarebytes tehdit zekası güvenliği araştırmacıları gözlemledikten sonra, sahte bir güncelleme yükleyici [Virustotal] ile kurulu kötü amaçlı yazılımlar bir digicert sertifikası ile imzalandı.
Enfekte sistemlere düşülen yük, operatörlerine virüslü ana bilgisayarlara tam bir uzaktan erişim sağlayacak şekilde tasarlanmış bir kötü amaçlı yazılımdır.
Enfekte cihaza yerleştirildikten sonra, kötü amaçlı yazılımlar, TeamViewer uzaktan kumanda yazılımının bir örneğini sessizce kurar ve başlatacaktır.
Başlatıldıktan sonra, TeamViewer sunucusu, saldırganların yeni uzgılanan bilgisayarın tam kontrolünü uzaktan kontrol edebileceklerini bildirmek için bir komut-kontrol (C2) sunucusuna ulaşacaktır.
TVRAT, 2013 yılında SPAM kampanyaları aracılığıyla SPAM kampanyaları aracılığıyla ortaya çıktığında, ofis makrolarını etkinleştiren kötü amaçlı ekler olarak teslim edildiğinde.
Saldırganların, IIS sunucularını tehlikeye atması için kullanılan yöntem henüz bilinirken, saldırganlar bir Windows IIS Serverr'yı ihlal etmenin çeşitli yollarını kullanabilir.
Örneğin, Windows IIS Web Sunucusu tarafından kullanılan HTTP protokol yığını (http.sys) bulunan kritik bir formbazlık kırılganlığını hedefleyen Kod, Mayıs ayından bu yana kamuya açıklanmıştır.
Microsoft, Mayıs Salı günü Salı günü sırasındaki güvenlik kusurunu (CVE-2021-31166 olarak izlenir) yamaladı ve yalnızca Windows 10 versiyonlarını 2004 / 20H2 ve Windows Server sürümleri 2004 / 20H2'yi etkilediğini söyledi.
O zamandan beri vahşi doğada vahşi doğada kötüye kullanan kötü amaçlı bir faaliyet olmamıştır ve o zamanlar bildirdiğimiz gibi, çoğu potansiyel hedefin en son Windows 10 sürümleri ile yapılan ev kullanıcılarının güncellenmesi ve şirketlerin donandığı En son pencere sunucusu sürümlerini genellikle kullanır.
CVE-2021-31166 için bir POC inşa ettim "HTTP Protokolü Yığını Uzak Kod Yürütme Güvenlik Açığı": https://t.co/8mqlcbyvcp pic.twitter.com/yzgus2cqo5
Bununla birlikte, devlet destekli seviye tehdit aktörleri, geçmişte internet ile karşı karşıya olan IIS sunucularını ödün vermek için çeşitli diğer istismarlardan yararlanmıştır.
En son örnek, İsrail güvenlik firması Sygnia'dan bir Ağustos raporuna göre Microsoft IIS Web sunucularını hedefleyen Mantis veya TG1021 olarak izlenen gelişmiş bir Kalıcı Tehdit (APT) grubudur.
Saldırılarında, dua eden Mantis, bir onay kutusu anketi RCE sömürüsü (CVE-2021-27852), bir bakış açısı tasarrufu ve altserializasyon güvensizliği sömürü istismarları ve bir TELERIK-UI Exploit (CVE-2019-18935, CVE-2017-11317) kullandı.
Araştırmacılar, "Faaliyetin arkasındaki operatörler, Windows Internet-Counting Sunucularını, Windows IIS ortamı için uyarlanmış, tamamen değişkenlik, özel bir kötü amaçlı yazılım platformu kullanmak," dedi.
Mantis aktörlerinin dua edilmesi daha sonra, hedeflerinin ağlarında kimlik bilgisi hasadı, keşif ve yanal hareketi de dahil olmak üzere ek kötü amaçlı görevler yapmak için sağlanan hack IIS sunucularına erişin.
Omigod: Microsoft Azure VMS Mirai, Miners'ı düşürmek için kullandı
Yeni Malware, gizli saldırılar için Linux için Windows alt sistemini kullanıyor
Yeni Zloader saldırıları, algılamayı kaçırmak için Windows Defender'ı devre dışı bırakın
Ukraynaca, haftada 2.000 çalınan giriş yapmak için iade edildi
Synology, kötü amaçlı yazılımın bulaşması NAS aygıtları fidye yazılımı ile uyardı
Kaynak: Bleeping Computer