- Ink Dragon kampanyası, yanlış yapılandırılmış IIS ve SharePoint sunucularından yararlanarak Avrupa hükümetlerini ihlal ediyor
- Grup, C2 trafiğini normal Microsoft bulut etkinliğiyle harmanlamak için FinalDraft arka kapısını kullanıyor
- Dünya çapında düzinelerce hükümet ve telekomünikasyon kurumu daha ileri operasyonlar için aktarma düğümlerine dönüştürüldü
Uzmanlar, Çin devletinin desteklediği bilinen bir tehdit aktörü olan Ink Dragon’un, ilk giriş için yanlış yapılandırılmış cihazlar kullanarak ve normal trafiğe karışarak kalıcılık sağlayarak erişim alanını Avrupa hükümetlerine kadar genişlettiği konusunda uyardı.
A rapor Siber güvenlik araştırmacılarından Check Point Software, saldırganların kullandığını iddia ediyor Microsoft Gelecekteki işlemler için geçiş düğümleri olarak IIS ve SharePoint sunucuları.
Check Point araştırmacıları, “Bu aşama genellikle düşük gürültü ile karakterize edilir ve aynı kimlik bilgilerini veya yönetim modellerini paylaşan altyapıya yayılır” dedi.
FinalDraft güncellemeleri
İlk erişimde grup, sıfır günü veya diğer güvenlik açıklarını kötüye kullanmıyor; zira bu durum büyük olasılıkla güvenlik çözümlerini ve alarmları tetikleyecektir. Bunun yerine, sunucularda zayıf noktalar ve yanlış yapılandırmalar olup olmadığını araştırarak başarılı bir şekilde gözden kaçarlar.
Grup, etki alanı düzeyinde erişime sahip bir hesap bulduktan sonra diğer sistemlere genişliyor, arka kapıları ve diğer kötü amaçlı yazılımları yüklüyor, uzun vadeli erişim sağlıyor ve hassas verileri sızdırıyor.
Ink Dragon’un araç kutusunda, yakın zamanda yaygın Microsoft bulut etkinliğiyle uyum sağlayacak şekilde güncellenen FinalDraft adında bir arka kapı var. Söylendi. C2 trafiği genellikle bir e-posta hesabının “taslaklar” klasöründe bırakılır. Ayrıca ilginç olan şu ki kötü amaçlı yazılım yalnızca trafiğin yoğun olduğu ve şüpheli etkinlikleri tespit etmenin daha zor olduğu normal iş saatlerinde çalışır.
Son olarak, saldırganlar ele geçirilen sunuculara kalıcı erişimi güvence altına aldıktan sonra, internete bakan sistemlere özel IIS tabanlı modüller yükleyerek kurbanların altyapısını yeniden tasarlıyor ve bu sistemleri kötü niyetli operasyonları için geçiş noktalarına dönüştürüyorlar.
Check Point, bariz nedenlerden dolayı kurbanların isimlerini açıklayamadı ancak Avrupa, Asya ve Afrika’daki devlet kurumları ve telekomünikasyon şirketleri de dahil olmak üzere “birkaç düzinelerce” kuruluşun vurulduğunu ortaya çıkardı.
Araştırmacılar, “Etkilenen kuruluşların kimliklerini veya belirli ülkelerini açıklayamasak da, aktörün 2025’in ikinci yarısında aktarma tabanlı operasyonlara başladığını ve ardından zaman içinde her aktarımdan mağdur kapsamının kademeli olarak genişlediğini gözlemledik” dedi.
Her bütçeye uygun en iyi antivirüs
TechRadar’ı Google Haberler’de takip edin Ve bizi tercih edilen kaynak olarak ekleyin Akışlarınızda uzman haberlerimizi, incelemelerimizi ve görüşlerimizi almak için. Takip Et butonuna tıklamayı unutmayın!
Ve tabii ki siz de yapabilirsiniz TechRadar’ı TikTok’ta takip edin haberler, incelemeler ve video biçimindeki kutu açma işlemleri için bizden düzenli olarak güncellemeler alın WhatsApp fazla.