TOLLBOOTH kampány
Az Elastic Security Labs elemzése a TOLLBOOTH kiberbűnözői kampányról, amely az internetes információs szolgáltatások (IIS) szervereit célozza meg. A támadók a REF3927 azonosítójú módszerrel élve, nyilvánosan ismert ASP.NET gépi kulcsokat használnak fel az IIS szerverek kompromittálására, majd egy úgynevezett SEO cloaking modulokból álló infrastruktúrát telepítenek a megtámadott rendszerekre. Ez a technika lehetővé teszi, hogy a támadók a keresőoptimalizálási (SEO) eredményekben manipulálják a látszólag legitim tartalmat, miközben a háttérben káros tevékenységet folytatnak.
A TOLLBOOTH kampány különösen veszélyes, mert nem csak a közvetlenül megtámadott szervereket érinti, hanem globálisan terjedő, komplex támadási felületet hoz létre. Az Elastic kutatói hangsúlyozzák, hogy a támadók egyre inkább kihasználják a nyilvánosan elérhető, de gyakran elhanyagolt vagy elfelejtett biztonsági konfigurációs adatokon alapuló sebezhetőségeket. Ez a taktika azt mutatja, hogy a kiberbűnözők nem feltétlenül új, ismeretlen hibákat keresnek, hanem a már ismert, de nem megfelelően kezeltté vált gyengeségeket célozzák meg.
