Yeni APT grubu, internete açık Microsoft Internet Information Services ( IIS ) sunucularını hedef almış durumda. Saldırganlar özellikle ABD’deki yüksek profilli kamu ve özel şirketlere saldırdıkları belirtildi.
Saldırıyı tanımlayan İsrailli siber güvenlik firması Sygnia, Saldırganların “Praying Mantis” veya “TG2021” takma adı kullandıklarını açıkladı. TG1021, IIS sunucuları için özel olarak hazırlanmış kötü amaçlı yazılım kullanıyor. Zafiyetin istismar edilmesi ile ayrıcalıkları yükseltmek ve ağlar içinde yanal olarak hareket etmek için gizli arka kapı ve çeşitli sömürüler için modüller kullandıkları belirtildi.
Saldırganlar sistem üzerindeki EDR’ları atlatabilirken, IIS istismarlarını “NodeIISWeb” adlı bir zararlı ile yapıyorlar. Zafiyet hakkında detaylar ise şu şekilde.
- Checkbox Survey RCE Exploit (CVE-2021-27852)
- VIEWSTATE Deserialization Exploit
- Altserialization Insecure Deserialization
- Telerik-UI Exploit (CVE-2019-18935 and CVE-2017-11317)
Kaynak: thehackernews.com