Siber Güvenlik

Kritik Uyarı: Çin Bağlantılı BadIIS Malware, Asya’daki IIS Sunucularını Hedef Alıyor

teknomers
teknomers

Giriş

Son dönemde, China-linked bir siber tehdit grubu olan UAT-8099 tarafından gerçekleştirilen yeni bir kampanya, Asya’daki Internet Information Services (IIS) sunucularını hedef almıştır. Bu durum, siber güvenlik açısından büyük bir tehdit oluşturmakta ve özellikle Tayland ile Vietnam üzerindeki etkileri dikkat çekici bir şekilde artmaktadır.

Contents

Saldırı Nasıl Çalışıyor?

UAT-8099, IIS sunucularına uzaktan erişim sağlamak için web shell’leri ve PowerShell kullanarak GotoHTTP aracını dağıtmaktadır. Araştırmalara göre, bu grubun kampanyası genellikle aşağıdaki aşamalardan oluşmaktadır:

  • Sistem bilgilerini toplamak amacıyla keşif ve analiz komutları çalıştırmak.
  • VPN araçlarını dağıtmak ve “admin$” adında gizli bir kullanıcı hesabı oluşturarak süreklilik sağlamak.
  • Sharp4RemoveLog, CnCrypt Protect, OpenArk64 ve GotoHTTP gibi yeni kötü amaçlı yazılımları yüklemek.
  • Yeni oluşturulan hesap üzerinden BadIIS kötü amaçlı yazılımını dağıtmak.

UAT-8099, “admin$” hesabının güvenlik ürünleri tarafından bloklanması durumunda, erişimi sürdürmek için “mysql$” adlı yeni bir kullanıcı hesabı oluşturmayı tercih etmektedir.

Etkilenen Sistemler

Bu siber saldırılar, başta Hindistan, Pakistan, Tayland, Vietnam ve Japonya olmak üzere, özellikle Tayland ve Vietnam üzerindeki etkileri ile dikkat çekmektedir. Kurbanlar, genellikle IIS sunucularını barındıran işletmelerdir ve SEO dolandırıcılığı amacıyla hedef alınmaktadır. UAT-8099, bu kampanya ile birlikte SEO odaklı taktiklerinde belirgin bir değişim göstermekte ve yerel hedefleri daha spesifik bir şekilde vurgulamaktadır.

Çözüm ve Korunma

Bu tehditten korunmak adına önerilen adımlar şunlardır:

  • Güvenlik güncellemelerinizi düzenli olarak kontrol edin ve uygulayın.
  • Port güvenliği ve gereksiz servislerin devre dışı bırakılması gibi yapısal önlemleri alın.
  • Web sunucusu yapılandırmalarınızı gözden geçirin ve güvenlik açıklarını kapatın.
  • Şüpheli aktiviteleri tespit etmek için izleme ve güvenlik çözümlerini güçlendirin.

Sonuç olarak, potansiyel tehditleri azaltmak için sunucu ve kullanıcı hesaplarınızı sıkı bir şekilde yönetmeli ve güvenlik politikalarınızı güncel tutmalısınız. Unutmayın, her zaman en iyi savunma, proaktif bir yaklaşım sergilemektir.

Yetkililer, Çalınan Kimlik Bilgilerini ve Kredi Kartlarını Satmak İçin WT1SHOP Sitesini Kapattı
Aldatma Teknolojilerinin Olgunlaşma Sorunu Vardır
Silent Hill tarzı Doom modu Unreal 5’in yeniden çevrimini alıyor
Nest Cam’ler web için Google Home’da bu yeni özellikleri alıyor
Vade, 2023 Kimlik Avcılarının Favorileri Raporunu Yayımladı
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale OnlyFans Büyük Bir Değişim Yaşıyor
Sonraki Makale Apple’ın yeni Airtag’leri basit bir cihazda heyecan verici bir yükseltme sunuyor

Sanal Medya

Son Eklenenler

Tatiliniz İçin 13 Çevre Dostu Paketleme İpucu ile Fark Yaratın
Genel
Kurucular VC korku hikayelerini paylaşıyor, bazıları isimleri veriyor
Genel
Control Resonant devam niteliğinde ama aynı zamanda bir başlangıç noktası mı?
Liste
Anthropic, Claude AI’nin beklenenden hızlı geliştiğini uyardı
Donanım
EA Sports’un Yeni Abonelik Sistemi Oyuncuları Heyecanlandıracak
Oyun
Google ve FBI siber saldırganları engellemek için uyarıyor
Genel