Yeni APT Hacking Grubu, ASP.NET Exploits ile Microsoft IIS Sunucularını Hedefliyor !

0

Yeni, son derece yetenekli ve kalıcı bir tehdit aktörü, ağlarına sızmak için internete bakan Microsoft Internet Information Services ( IIS ) sunucularını kullanarak bir dizi hedefli siber saldırı saldırısının bir parçası olarak ABD’deki büyük yüksek profilli kamu ve özel kuruluşları hedef alıyor .

 

Kampanyayı tanımlayan İsrailli siber güvenlik firması Sygnia, “Praying Mantis” veya “TG2021” takma adı altında gelişmiş, sinsi düşmanı izliyor.
“TG1021, ortak bir çekirdek etrafında oluşturulmuş, IIS sunucuları için özel olarak hazırlanmış, özel yapım bir kötü amaçlı yazılım çerçevesi kullanıyor. Araç seti tamamen uçucudur, etkilenen bir makinenin belleğine yansıtıcı bir şekilde yüklenir ve virüslü hedefler üzerinde neredeyse hiç iz bırakmaz,” araştırmacılar söyledi
 . “Tehdit aktörü ayrıca ağ keşfi gerçekleştirmek, ayrıcalıkları yükseltmek ve ağlar içinde yanal olarak hareket etmek için ek bir gizli arka kapı ve çeşitli sömürü sonrası modüller kullanıyor.”
Tehdit aktörünün, günlük tutma mekanizmalarına aktif olarak müdahale ederek ve ticari uç nokta algılama ve yanıt (EDR) sistemlerinden başarılı bir şekilde kaçarak tespitten kaçınmak için önemli bir çaba gösteren yetenekler sergilemesinin yanı sıra, bir ASP.NET web uygulaması açıklarından yararlanma cephanesinden yararlandığı bilinmektedir. Özel DLL’leri yüklemek ve ayrıca sunucu tarafından alınan HTTP isteklerini engellemek ve işlemek için tasarlanmış “NodeIISWeb” adlı karmaşık bir implantı yürüterek sunuculara ilk dayanak noktası ve arka kapı verin.

Aktör tarafından yararlanılan güvenlik açıkları şunları içerir:
Onay Kutusu Anketi RCE Exploit ( CVE-2021-27852 )
VIEWSTATE Seriyi Kaldırma Exploit
Altserialization Güvensiz Seriyi Kaldırma
Telerik-UI Exploit ( CVE-2019-18935 ve CVE-2017-11317 )
İlginç bir şekilde, Sygnia’nın TG1021’in taktikleri, teknikleri ve prosedürleri (TTP’ler) hakkındaki soruşturması , Avustralya Siber Güvenlik Merkezi tarafından yayınlanan bir danışma belgesinde ayrıntılı olarak açıklandığı gibi, ” Kopyala yapıştır uzlaşması ” adlı ulus destekli bir aktörünkilerle “büyük örtüşmeler” ortaya çıkardı ( ACSC), öncelikle Telerik UI ve IIS sunucularında yama uygulanmamış kusurların kullanılması yoluyla halka açık altyapıyı hedefleyen bir siber kampanyayı açıklayan Haziran 2020’de yayınlandı. Ancak henüz resmi bir açıklama yapılmadı.
Araştırmacılar, “İki büyük Batı pazarında yüksek profilli kamu ve özel kuruluşları hedef aldığı gözlemlenen peygamber devesi, ticari kuruluşları hedef almak için sofistike, ulus devlet saldırı yöntemlerini kullanan siber suçluların artan eğilimine örnek teşkil ediyor” dedi. “Sürekli adli tıp faaliyetleri ve olaya zamanında müdahale, ağları tespit etmek ve benzer tehdit aktörlerinin saldırılarına karşı etkili bir şekilde savunmak için çok önemlidir.”
Secured By miniOrange