Siber suç, sahtekarlık yönetimi ve siber suç
Brezilya, Tayland ve Vietnam’da Windows sunucularından ödün veren Ghostredictor
Akhabokan Akan (Athokan_akhsha) •
8 Eylül 2025
Şüpheli bir Çin siber suç grubu, kumar web sitelerini tanıtmak için arama motoru optimizasyonu sahtekarlığının bir parçası olarak Brezilya, Tayland, Portekiz ve Vietnam’daki Windows sunucularını tehlikeye atmak için özel kötü amaçlı yazılımlar kullanıyor.
Ayrıca bakınız: Ondemand | Kuzey Kore’nin Gizli It Ordusu ve Nasıl Savaşır
Kampanyayı ortaya çıkaran güvenlik firması ESET, GhostrediDector olarak adlandırdığı daha önce görünmeyen bir gruba bağladı. Aralık 2024’ten bu yana aktif olan kampanya, Rungan adında bir C ++ arka kapı ve kumar web sitelerini tanıtmak için Gamwshen adlı kötü amaçlı bir internet bilgi hizmetleri modülü kullanıyor – en azından bir durumda Portekizce konuşan kullanıcılara yönelik bir kumar uygulaması.
Araştırmacılar, Ghostredirector’ın kampanyayı Çin uyumlu bir tehdit oyuncusuna orta güvenle ilişkilendirdiğini söyledi. Tehdit oyuncusu şimdiye kadar 65 Windows sunucusunu tehlikeye attı.
Saldırılar, ilk erişim elde etmek için SQL enjeksiyonunu gerçekleştiren bilgisayar korsanlarıyla başlar. Bilgisayar korsanları, EFSPOTATO ve Badpotato istismarları dahil olmak üzere ek araçları indirmek için PowerShell komut dosyalarını dağıtıyor. Bilgisayar korsanları, mevcut bir kullanıcı hesabının şifresini değiştirir ve yönetici grubuna eklemeye çalışır veya bazı durumlarda yeni bir yönetici kullanıcısı oluşturur.
Fiziksel yollar, IP adresleri ve ana bilgisayar adları gibi ayrıntıları toplamak için Windows Internet Bilgi Hizmetleri yapılandırmalarını taramak için başka bir yardımcı program olan Zunput kullanırlar. ESET araştırmacıları, “Bilgiler toplandıktan sonra, Zunput sunucudaki fiziksel yolun varlığını kontrol ediyor ve dizinin en az bir dosya içerdiğini doğrular. Bu şekilde Zunput, yalnızca dinamik içeriği yürütebilecek aktif web sitelerini hedefler – sadece bu dizinlerde gömülü web kıyılarını bırakır.”
Son yük, bu kampanyadaki temel işlevselliği, sabit kodlanmış bir URL’yi tehlikeye atılan sunucuya kaydetmek olan Rungan Backdoor’dur, http://+:80/v1.0/8888/sys.html. Oradan, kötü amaçlı yazılım, dosya toplamak, arka kapı erişimi için ek URL’ler kaydetmek ve keyfi komutlar yürütmek de dahil olmak üzere operatörlerinden gönderilen komutları ayrıştırır ve yürütür.
Gamshen modülü, arama motorunun web tarayıcısı olan GoogleBot’tan HTTP isteklerini keser ve hedeflenen bir üçüncü taraf sitenin sıralamasını artırmak için yanıtları manipüle eder. ESET araştırmacıları, “Bunu yaparak Ghostridensor, Google arama sıralamalarını meşru ancak tehlikeye atılmış web sitelerinden yapay geri bağlantılar oluşturmak gibi gölgeli SEO tekniklerini kullanarak manipüle etmeye çalışıyor.” Dedi.
En son kampanyadaki tehlikeye atılan ağların çoğu ABD’de tespit edilmiş olsa da, ESET araştırmacıları GhostrediDector hackerlarının Güney Amerika ve Güney Asya’daki kurbanları hedeflemekle daha fazla ilgilendiklerini söyledi.