UAT-8099 Kampanyası: Asya’daki IIS Sunucularına Yönelik 3 Yeni Kötü Amaçlı Yazılım Taktikleri

Anasayfa » UAT-8099 Kampanyası: Asya’daki IIS Sunucularına Yönelik 3 Yeni Kötü Amaçlı Yazılım Taktikleri
APT, Saldırı Analizi, Zararlılar
Şubat 1, 2026Şubat 1, 2026Tarafından Cybernews.TR
0
UAT-8099 Kampanyası: Asya’daki IIS Sunucularına Yönelik 3 Yeni Kötü Amaçlı Yazılım Taktikleri

Saldırının Genel Çerçevesi

2025 sonu ile 2026 başı arasında tespit edilen UAT-8099 kampanyası, Asya bölgesinde özellikle Tayland ve Vietnam’daki Internet Information Services (IIS) sunucularını hedef aldı. Çin kökenli olduğu değerlendirilen tehdit aktörü, bu sunuculara web kabukları ve PowerShell komutları ile sızarak GotoHTTP aracı üzerinden uzaktan kontrol sağlıyor. Kampanya, SEO dolandırıcılığı amacıyla BadIIS adlı kötü amaçlı yazılımın dağıtılmasını içeriyor.

Hindistan, Pakistan, Tayland, Vietnam ve Japonya gibi ülkelerde yoğunlaşan saldırılar, özellikle Tayland ve Vietnam’da belirgin bir saldırı yoğunluğu gösteriyor. Tehdit aktörü, ele geçirilen sunucularda SoftEther VPN ve EasyTier gibi araçlarla kalıcılık sağlıyor ve tespit edilmekten kaçınmak için kırmızı takım araçları ile meşru araçları birlikte kullanıyor.

Saldırı Zinciri ve Teknik Detaylar

UAT-8099’un saldırı süreci genellikle IIS sunucularındaki güvenlik açıkları veya zayıf dosya yükleme ayarları üzerinden başlıyor. İlk erişim sağlandıktan sonra şu adımlar izleniyor:

  • Sistem bilgisi toplamak için keşif komutları çalıştırılması
  • VPN araçlarının dağıtılması ve “admin$” adlı gizli kullanıcı hesabının oluşturulmasıyla kalıcılık sağlanması
  • Sharp4RemoveLog (Windows olay günlüklerini temizleme), CnCrypt Protect (kötü amaçlı dosyaları gizleme), OpenArk64 (anti-rootkit) ve GotoHTTP (uzaktan kontrol) gibi yeni araçların bırakılması
  • BadIIS kötü amaçlı yazılımının yeni oluşturulan hesapla dağıtılması
  • Güvenlik ürünlerinin “admin$” hesabını engellemesi durumunda “mysql$” adlı yeni bir kullanıcı hesabı oluşturulması

GotoHTTP aracı, web kabuğu dağıtımından sonra PowerShell komutu ile indirilen Visual Basic Script aracılığıyla başlatılıyor. BadIIS kötü amaçlı yazılımının iki yeni varyantı bulunuyor: Vietnam odaklı BadIIS IISHijack ve Tayland odaklı BadIIS asdSearchEngine. Bu varyantlar, ziyaretçilerin arama motoru tarayıcısı olup olmadığını kontrol ederek SEO dolandırıcılığı için yönlendirmeler yapıyor ve Tay dili tercih eden kullanıcılara kötü amaçlı JavaScript enjekte ediyor.

BadIIS Varyantlarının Teknik Özellikleri

BadIIS asdSearchEngine kümesinde üç farklı varyant tespit edildi:

  • Çoklu uzantılar varyantı: İsteklerdeki dosya yollarını kontrol ederek kaynak yoğun veya görünümü engelleyebilecek uzantıları yok sayıyor.
  • HTML şablon yükleme varyantı: Diskten veya gömülü yedeklerden şablonlar yükleyerek dinamik web içeriği oluşturuyor.
  • Dinamik sayfa uzantısı/dizin dizini varyantı: İstenen yolun dinamik sayfa uzantısı veya dizin dizini olup olmadığını kontrol ediyor.

Tehdit aktörü, SEO içeriği hedeflemeyi önceliklendirirken aynı zamanda gizliliği korumak için bu varyantları kullanıyor. Ayrıca, Linux platformu için geliştirilmiş BadIIS sürümü de bulunuyor ve bu sürüm, proxy, enjektör ve SEO dolandırıcılığı modlarını içeriyor.

Sistem Yöneticileri ve SOC Ekipleri İçin Öneriler

  • IIS sunucularındaki dosya yükleme izinlerini sıkılaştırın ve gereksiz servisleri kapatın.
  • Windows olay günlüklerini düzenli olarak izleyin ve Sharp4RemoveLog gibi araçların izlerini arayın.
  • Gizli kullanıcı hesapları (örneğin “admin$” ve “mysql$”) oluşturulup oluşturulmadığını kontrol edin.
  • PowerShell ve Visual Basic Script aktivitelerini EDR çözümleri ile takip edin.
  • GotoHTTP ve benzeri uzaktan kontrol araçlarının ağ trafiğini SIEM sistemleriyle analiz edin.
  • SEO dolandırıcılığına karşı web uygulama güvenlik duvarı (WAF) kuralları oluşturun.
  • SoftEther VPN gibi üçüncü taraf VPN araçlarının kullanımını denetleyin.
  • Güncel yamaları uygulayarak CVE-2025-XXXX gibi IIS zafiyetlerini kapatın.

Teknik Özet

  • Kullanılan zararlılar: BadIIS (IISHijack, asdSearchEngine), GotoHTTP, Sharp4RemoveLog, CnCrypt Protect, OpenArk64
  • Hedef Bölgeler: Tayland, Vietnam, Hindistan, Pakistan, Japonya, Kanada, Brezilya
  • Kullanılan yöntemler: IIS dosya yükleme zafiyetleri, web kabukları, PowerShell komutları, VPN araçları, gizli kullanıcı hesapları
  • Saldırı zinciri: İlk erişim → keşif → kalıcılık için gizli hesaplar → kötü amaçlı yazılım dağıtımı → uzaktan kontrol
  • Önerilen savunma: IIS yamalarının güncellenmesi, dosya yükleme kısıtlamaları, EDR ve SIEM ile anormal aktivitelerin izlenmesi, ağ segmentasyonu, MFA uygulanması

Bu gelişmeler, özellikle bulut güvenliği ve ağ segmentasyonu alanlarında alınacak önlemlerin önemini bir kez daha ortaya koyuyor. Ayrıca, olay müdahale (incident response) ekiplerinin bu tür karmaşık saldırı zincirlerine karşı hazırlıklı olması gerekiyor.

, , , , , , ,