ESET güvenlik araştırmacıları, birden fazla ülkede Windows sunucularını hedefleyen gelişmiş bir siber tehdit kampanyası ortaya çıkardı ve saldırganlar hem uzaktan erişim hem de arama motoru manipülasyonu için tasarlanmış özel kötü amaçlı yazılım araçlarını kullanıyor.
ESET’teki siber güvenlik uzmanları, öncelikle Brezilya, Tayland ve Vietnam’da bulunan en az 65 Windows sunucusunu başarıyla tehlikeye atan GhostrediDector adlı daha önce bilinmeyen bir tehdit grubu belirlediler.
İlk olarak Aralık 2024’te tespit edilen saldırılar, geleneksel sunucu uzlaşma tekniklerini yenilikçi arama motoru optimizasyonu sahtekarlığı ile birleştiren çok yönlü bir kampanyayı temsil ediyor.
Tehdit oyuncusu, operasyonlarının omurgasını oluşturan iki sofistike özel araç geliştirdiler: uzak komutları yürütebilen pasif bir C ++ arka kapı ve arama motoru sonuçlarını manipüle etmek için özel olarak tasarlanmış kötü amaçlı bir İnternet Bilgi Hizmetleri (IIS) modülü olan Gamshen.
Rungan, saldırganların tehlikeye atılan sunuculara sürekli erişimi sürdürmesini sağlayan gizli bir arka kapı olarak işlev görür.
Kurulduktan sonra, tipik olarak C: \ ProgramData \ Microsoft \ drm \ log \ miniscreen.dll dizine göre, kötü amaçlı yazılmış bir URL kaydeder ve kurbanın sistemindeki komutları yürütmeden önce belirli parametrelerle eşleşen gelen istekleri bekler.
Gamshen, Google’ın Googlebot olarak bilinen web tarayıcısını özellikle hedefleyen yerel bir IIS modülü olarak çalışan siber suçlara daha yeni bir yaklaşımı temsil ediyor.
Modül Google’ın dizinleme sisteminden gelen istekleri algıladığında, sunucunun yanıtını kumar web sitelerinin arama motoru sıralamalarını artırmak için tasarlanmış hileli içeriği içerecek şekilde değiştirir.
Gamshen’in birincil amacı, aldatıcı tekniklerle hedef web sitelerinin sayfa sıralamasını yapay olarak şişiren “Hizmet AS SEO sahtekarlığı” sağlıyor gibi görünüyor.
Önemli olarak, düzenli web sitesi ziyaretçileri, kötü niyetli davranış yalnızca Google’ın tarama sistemlerinden kaynaklandığında etkinleştirildiğinden, bu değişikliklerden etkilenmez.

Bu yaklaşım, saldırganların, Portekizce konuşan kullanıcıları hedefleyen kumar operasyonlarını, müşterilerine fayda sağlamak için meşru tehlikeye atılan web sitelerinin itibarını ve yetkisini kötüye kullanmalarını sağlar.
Şema, arama motorlarının meşru onaylar olarak yorumladığı kötü niyetli geri bağlantıların ve manipüle edilmiş içeriklerin enjekte edilmesini içerir.
Ghostrediector, öncelikle SQL enjeksiyon güvenlik açıkları yoluyla hedef sunuculara ilk erişim kazanır, daha sonra 868ID’deki evreleme sunucularından ek kötü amaçlı araçlar indirmek için PowerShell komutlarını kullanır[.]com.
Grup, birden fazla kalıcılık mekanizması kullanarak sofistike operasyonel güvenlik göstermektedir.

Saldırganlar, özel araçlarının ötesinde, ayrıcalık artışı için EFSPOTATO ve Badpotato gibi halka açık istismarları kullanıyor.

Bu araçlar, tehlikeye atılan sunucularda idari kullanıcı hesaplarının oluşturulmasını, geri dönüş erişim yöntemlerini sağladığını ve enfekte olmuş sistemler üzerinde uzun vadeli kontrolün sağlanmasını sağlar.
Coğrafi Dağıtım ve Mağdurlar
Kampanya, Güney Amerika ve Güneydoğu Asya’daki konsantrasyonlarla birden fazla kıtadaki sunucuları etkiledi.
Mağdurlar, sağlık hizmetleri, eğitim, sigorta, ulaşım, teknoloji ve perakende sektörleri de dahil olmak üzere çeşitli endüstrileri kapsamakta ve hedeflenen saldırılardan ziyade fırsatçı önermektedir.

ESET araştırmacıları, daha az sayıda olsa da, Kanada, Finlandiya, Hindistan, Hollanda, Filipinler ve Singapur’da ek uzlaşmacı sistemler belirlediler.
Amerika Birleşik Devletleri’nde bulunan birçok sunucunun, birincil hedef ülkelere dayanan şirketler tarafından kiralandığı görülmektedir.
Güvenlik araştırmacıları, GhostrediDector’ın kötü amaçlı yazılım örneklerindeki sabit kodlu Çince dil dizeleri, Çin şirketlerine verilen kod imzalama sertifikalarının kullanımı ve kullanıcı hesap şifrelerine gömülü Çince kelimelerin kullanımı da dahil olmak üzere çeşitli göstergelere dayanarak Çin’e uyumlu bir tehdit aktörünü temsil ettiğini orta güvenle değerlendiriyor.
Tehdit grubu, özel araçların geliştirilmesi ve IIS mimarisi anlayışları yoluyla teknik karmaşıklığı göstermektedir.

Yaklaşımları, doğrudan bağlantı kurulmamış olmasına rağmen, benzer SEO sahtekarlık operasyonları gerçekleştiren diğer Çin uyumlu grupların, özellikle Dragonrank’ın önceki kampanyalarını yansıtıyor.
Sonuçlar ve yanıt
Bu kampanya, geleneksel sunucu uzlaşma tekniklerinin finansal kazanç için arama motoru manipülasyonu ile kesiştiği siber tehditlerin gelişen doğasını vurgulamaktadır.
Hileli içeriği teşvik etmek için meşru web sitesi otoritesinin kullanılması, güvenilir bilgi arayan hem tehlikeye atılan kuruluşlar hem de İnternet kullanıcıları için önemli bir tehdit oluşturur.
ESET, tanımlanmış tüm mağdurları uzlaşmanın bilgilendirdi ve bu tehdit grubunun faaliyetlerinin ek göstergelerini izlemeye devam ediyor.
Araştırma, güncellenmiş sunucu güvenlik önlemlerinin korunmasının ve olağandışı ağ etkinliği, özellikle veritabanı hizmetlerinden kaynaklanan yetkisiz PowerShell yürütmelerinin izlenmesinin öneminin altını çizmektedir.
GhostrediDector kampanyası, modern siber suçluların hem kalıcılığı hem de karı en üst düzeye çıkarmak için çoklu saldırı vektörlerini nasıl birleştirdiğini ve etkili bir şekilde tespit etmek ve hafifletmek için kapsamlı güvenlik yaklaşımları gerektiren karmaşık tehditler yarattığını göstermektedir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.