ESET araştırmacıları, daha önce tespit edilmemiş, 10 adet kötü amaçlı yazılım ailesinden oluşan bir set keşfetti. Bu set, IIS (Internet Information Services) web sunucusu yazılımı için kullanılan kötü amaçlı uzantılardan oluşuyor. Kötü amaçlı yazılım hükümetlerin posta kutularını ve e-ticaret kanalında kredi kartı işlemlerini hedef alıyor.
Başka kötü amaçlı yazılımların dağıtımına da katkıda bulunuyor ve gizlice dinlemeyi ve sunucu iletişimlerine zarar vermeyi amaçlıyor. ESET telemetrisine ve araştırmacılarının bu arka kapıların varlığını algılamak için gerçekleştirdiği internet genelindeki ek taramaların sonuçlarına göre bu IIS arka kapılardan en az beşi, 2021 yılında Microsoft Exhange e-posta sunucularında ortaya çıkan açıklar aracılığı ile yayılıyor.
Web sunucuları, siber suç ve siber casusluk amacıyla hedefte
IIS kötü amaçlı yazılımının siber suç, siber casusluk ve arama motoru optimizasyonu dolandırıcılığında nasıl kullanıldığını göstermek üzere üç kötü amaçlı yazılım ailesi (IIStealer, IISpy ve IISerpent) detaylı bir şekilde incelendi. IIS kötü amaçlı yazılımları siber suç, siber casusluk ve arama motoru optimizasyonu dolandırıcılığında kullanılan çeşitli tehdit türlerinden oluşuyor.
Bu tehditlerin asıl amacı ihlal edilen IIS sunucusuna gelen HTTP taleplerini ele geçirmek ve bu taleplere (bazılarına) sunucunun verdiği yanıtı etkilemek. IIS web sunucuları, siber suç ve siber casusluk amacıyla çeşitli kötü amaçlı aktörler tarafından hedef alınıyor.
ESET araştırmacısı Zuzana Hromcová yazılımın web geliştiricileri için genişletilebilirlik sağlamak üzere tasarlanan modüler mimarisinin, saldırganlar için yararlı bir araç olabileceğini ifade ederek şu bilgileri paylaştı: “IIS sunucularında güvenlik yazılımlarının kullanımı halen çok az olduğundan, saldırganlar uzun süre fark edilmeden çalışmaya devam edebiliyor.
Ziyaretçilerinin doğrulama ve ödeme bilgileri dahil olmak üzere verilerini korumak isteyen tüm internet portalları tarafından bu durum dikkate alınmalıdır. Ayrıca web üzerinden Outlook kullanan kuruluşlar, OWA IIS’e bağlı olduğundan ve casusluk için önemli bir hedef olabileceğinden bu konuda daha dikkatli olmalıdır”
IIS kötü amaçlı yazılım saldırılarını etkilerini azaltmada yardımcı olabilecek şu tavsiyeler
IIS sunucularının yönetiminde benzersiz, sağlam şifreler ve çok faktörlü kimlik doğrulama kullanmalıdır
İşletim sisteminin güncel olmasına dikkat edin
İnternet uygulamaları için güvenlik duvarı ve sunucu için uç nokta güvenlik çözümü kullanın,
Kurulan tüm uzantıların yasal olduğunu doğrulamak üzere IIS sunucu yapılandırmasını düzenli olarak kontrol edin
Yorumlar kapalı.