Siber güvenlik araştırmacıları tarafından “GhostrediDector” olarak adlandırılan yeni tanımlanmış bir hack grubu, dünya çapında en az 65 Windows sunucusunu tehlikeye attı ve arama motoru sonuçlarını finansal kazanç için manipüle etmek için tasarlanmış özel kötü amaçlı yazılımları dağıttı.
ESET’in yeni bir raporuna göre, tehdit oyuncusu, öncelikle kumar web sitelerine fayda sağlayan sofistike bir SEO sahtekarlığı planı yapmak için Microsoft’un İnternet Bilgi Hizmetleri (IIS) için kötü amaçlı bir modül kullanıyor.
En azından Ağustos 2024’ten beri aktif olan saldırılar, daha önce belgelenmemiş iki özel araç kullanıyor: “Rungan” adlı pasif bir C ++ arka kapı ve “Gamshen” adı verilen kötü niyetli bir IIS modülü.
Rungan, saldırganlara tehlikeye atılan bir sunucuda komutlar yürütme yeteneği sağlarken, Gamshen, “Hizmet AS SEO sahtekarlığı” sağlamak için tasarlanmış operasyonun çekirdeğidir.
GhostrediDector Windows sunucularını hackliyor
Araştırmacılar, Gamshen’in enfekte olmuş sunucuda web trafiğini ele geçirerek işlev gördüğünü açıklar. Modül, yalnızca Google’ın web tarayıcısı GoogleBot’tan bir isteği algıladığında etkinleştirilecek şekilde yapılandırılmıştır.
Düzenli ziyaretçiler için web sitesi normal olarak işlev görür. Ancak, Googlebot siteyi taradığında Gamshen, kendi komut ve kontrol sunucusundan veri enjekte ederek sunucunun yanıtını değiştirir.
Bu teknik, saldırganların yapay geri bağlantılar oluşturmalarına ve diğer manipülatif SEO taktiklerini kullanmasına izin vererek, bir hedef web sitesinin sayfa sıralamasını artırmak için tehlikeye atılan web sitesinin itibarını etkili bir şekilde ele geçirir.
ESET, bu planın birincil faydalanıcılarının Portekizce konuşan kullanıcıları hedefleyen çeşitli kumar web siteleri olduğuna inanıyor. ESET araştırmacıları, kampanyayı orta güvenle daha önce bilinmeyen, Çin uyumlu bir tehdit oyuncusuna bağladılar.
Bu değerlendirme, bir Çin şirketine verilen bir kod imzalama sertifikası, kötü amaçlı yazılım örnekleri içindeki sabit kodlu Çince dil dizelerinin ve haydut kullanıcı hesapları için kullanılan Çince “Huang” (sarı) içeren bir şifre dahil olmak üzere çeşitli faktörlere dayanmaktadır.
Mağdur, belirli bir endüstriye karşı hedeflenen bir kampanya yerine fırsatçı bir yaklaşım gösteriyor.
Meyveden çıkarılan sunucular, çoğunluğu Brezilya, Tayland ve Vietnam’da bulunan sağlık, perakende, ulaşım, eğitim ve teknoloji gibi sektörleri kapsamaktadır.
Amerika Birleşik Devletleri, Peru, Kanada ve Avrupa ve Asya’nın bölümlerinde ek kurbanlar tespit edildi.
Ghostredirector’ın saldırı zinciri, ilk erişim için bir SQL enjeksiyon güvenlik açığı olduğuna inanılan şeyle başlar. İçeri girdikten sonra, saldırganlar cephaneliğini bir sahneleme sunucusundan indirmek için PowerShell veya Certutil kullanırlar.
Tam kontrol elde etmek için, sunucuda yeni yönetici düzeyinde kullanıcı hesapları oluşturmak için “EFSPOTATO” ve “Badpotato” gibi halka açık bir ayrıcalık artış istismarlarını kullanırlar.
Bu haydut hesaplar, birincil arka kapıları keşfedilse ve kaldırılsa bile saldırganların kontrolü koruyabilmesini sağlayarak kalıcı erişim sağlar.
Grubun araç seti ayrıca, aktif web siteleri için sunucuyu tarayan ve alternatif uzaktan erişim yöntemleri sağlamak için birden fazla web kabuğu bırakan bir araç olan “Zunput” gibi diğer özel yardımcı programları da içerir.
Bu araçlar arasındaki paylaşılan kod kütüphaneleri ve altyapısı ESET’in etkinliği kümelemesine ve bunu tek bir gruba bağlamasına izin verdi.
Web sitesi ziyaretçileri üzerindeki acil etki minimal olmakla birlikte, SEO sahtekarlığı planına katılım, kara şapka SEO taktikleriyle ilişkilendirerek tehlikeye atılan ev sahibinin itibarına ciddi şekilde zarar verebilir.
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.