GhostrediDector Hackers, kötü niyetli IIS modülünü kullanarak Windows sunucularını hedeflemek


ESET güvenlik araştırmacıları, birden fazla ülkede Windows sunucularını hedefleyen gelişmiş bir siber tehdit kampanyası ortaya çıkardı ve saldırganlar hem uzaktan erişim hem de arama motoru manipülasyonu için tasarlanmış özel kötü amaçlı yazılım araçlarını kullanıyor.

ESET’teki siber güvenlik uzmanları, öncelikle Brezilya, Tayland ve Vietnam’da bulunan en az 65 Windows sunucusunu başarıyla tehlikeye atan GhostrediDector adlı daha önce bilinmeyen bir tehdit grubu belirlediler.

İlk olarak Aralık 2024’te tespit edilen saldırılar, geleneksel sunucu uzlaşma tekniklerini yenilikçi arama motoru optimizasyonu sahtekarlığı ile birleştiren çok yönlü bir kampanyayı temsil ediyor.

Tehdit oyuncusu, operasyonlarının omurgasını oluşturan iki sofistike özel araç geliştirdiler: uzak komutları yürütebilen pasif bir C ++ arka kapı ve arama motoru sonuçlarını manipüle etmek için özel olarak tasarlanmış kötü amaçlı bir İnternet Bilgi Hizmetleri (IIS) modülü olan Gamshen.

Rungan, saldırganların tehlikeye atılan sunuculara sürekli erişimi sürdürmesini sağlayan gizli bir arka kapı olarak işlev görür.

Kurulduktan sonra, tipik olarak C: \ ProgramData \ Microsoft \ drm \ log \ miniscreen.dll dizine göre, kötü amaçlı yazılmış bir URL kaydeder ve kurbanın sistemindeki komutları yürütmeden önce belirli parametrelerle eşleşen gelen istekleri bekler.

Gamshen, Google’ın Googlebot olarak bilinen web tarayıcısını özellikle hedefleyen yerel bir IIS modülü olarak çalışan siber suçlara daha yeni bir yaklaşımı temsil ediyor.

Modül Google’ın dizinleme sisteminden gelen istekleri algıladığında, sunucunun yanıtını kumar web sitelerinin arama motoru sıralamalarını artırmak için tasarlanmış hileli içeriği içerecek şekilde değiştirir.

Gamshen’in birincil amacı, aldatıcı tekniklerle hedef web sitelerinin sayfa sıralamasını yapay olarak şişiren “Hizmet AS SEO sahtekarlığı” sağlıyor gibi görünüyor.

Önemli olarak, düzenli web sitesi ziyaretçileri, kötü niyetli davranış yalnızca Google’ın tarama sistemlerinden kaynaklandığında etkinleştirildiğinden, bu değişikliklerden etkilenmez.

Saldırı Genel Bakış
Saldırı Genel Bakış

Bu yaklaşım, saldırganların, Portekizce konuşan kullanıcıları hedefleyen kumar operasyonlarını, müşterilerine fayda sağlamak için meşru tehlikeye atılan web sitelerinin itibarını ve yetkisini kötüye kullanmalarını sağlar.

Şema, arama motorlarının meşru onaylar olarak yorumladığı kötü niyetli geri bağlantıların ve manipüle edilmiş içeriklerin enjekte edilmesini içerir.

Ghostrediector, öncelikle SQL enjeksiyon güvenlik açıkları yoluyla hedef sunuculara ilk erişim kazanır, daha sonra 868ID’deki evreleme sunucularından ek kötü amaçlı araçlar indirmek için PowerShell komutlarını kullanır[.]com.

Grup, birden fazla kalıcılık mekanizması kullanarak sofistike operasyonel güvenlik göstermektedir.

Bir kurban sunucusunda yeni bir kullanıcı oluşturan ayrıştırılmış kodun bir kısmı
Bir kurban sunucusunda yeni bir kullanıcı oluşturan ayrıştırılmış kodun bir kısmı

Saldırganlar, özel araçlarının ötesinde, ayrıcalık artışı için EFSPOTATO ve Badpotato gibi halka açık istismarları kullanıyor.

 Bir test sunucusuna kötü amaçlı yazılım aracılığıyla bir kullanıcı ekleme
Bir test sunucusuna kötü amaçlı yazılım aracılığıyla bir kullanıcı ekleme

Bu araçlar, tehlikeye atılan sunucularda idari kullanıcı hesaplarının oluşturulmasını, geri dönüş erişim yöntemlerini sağladığını ve enfekte olmuş sistemler üzerinde uzun vadeli kontrolün sağlanmasını sağlar.

Coğrafi Dağıtım ve Mağdurlar

Kampanya, Güney Amerika ve Güneydoğu Asya’daki konsantrasyonlarla birden fazla kıtadaki sunucuları etkiledi.

Mağdurlar, sağlık hizmetleri, eğitim, sigorta, ulaşım, teknoloji ve perakende sektörleri de dahil olmak üzere çeşitli endüstrileri kapsamakta ve hedeflenen saldırılardan ziyade fırsatçı önermektedir.

Kurbanların tespit edildiği ülkeler
Kurbanların tespit edildiği ülkeler

ESET araştırmacıları, daha az sayıda olsa da, Kanada, Finlandiya, Hindistan, Hollanda, Filipinler ve Singapur’da ek uzlaşmacı sistemler belirlediler.

Amerika Birleşik Devletleri’nde bulunan birçok sunucunun, birincil hedef ülkelere dayanan şirketler tarafından kiralandığı görülmektedir.

Güvenlik araştırmacıları, GhostrediDector’ın kötü amaçlı yazılım örneklerindeki sabit kodlu Çince dil dizeleri, Çin şirketlerine verilen kod imzalama sertifikalarının kullanımı ve kullanıcı hesap şifrelerine gömülü Çince kelimelerin kullanımı da dahil olmak üzere çeşitli göstergelere dayanarak Çin’e uyumlu bir tehdit aktörünü temsil ettiğini orta güvenle değerlendiriyor.

Tehdit grubu, özel araçların geliştirilmesi ve IIS mimarisi anlayışları yoluyla teknik karmaşıklığı göstermektedir.

Bir SEO sahtekarlığı planına genel bakış
Bir SEO sahtekarlığı planına genel bakış

Yaklaşımları, doğrudan bağlantı kurulmamış olmasına rağmen, benzer SEO sahtekarlık operasyonları gerçekleştiren diğer Çin uyumlu grupların, özellikle Dragonrank’ın önceki kampanyalarını yansıtıyor.

Sonuçlar ve yanıt

Bu kampanya, geleneksel sunucu uzlaşma tekniklerinin finansal kazanç için arama motoru manipülasyonu ile kesiştiği siber tehditlerin gelişen doğasını vurgulamaktadır.

Hileli içeriği teşvik etmek için meşru web sitesi otoritesinin kullanılması, güvenilir bilgi arayan hem tehlikeye atılan kuruluşlar hem de İnternet kullanıcıları için önemli bir tehdit oluşturur.

ESET, tanımlanmış tüm mağdurları uzlaşmanın bilgilendirdi ve bu tehdit grubunun faaliyetlerinin ek göstergelerini izlemeye devam ediyor.

Araştırma, güncellenmiş sunucu güvenlik önlemlerinin korunmasının ve olağandışı ağ etkinliği, özellikle veritabanı hizmetlerinden kaynaklanan yetkisiz PowerShell yürütmelerinin izlenmesinin öneminin altını çizmektedir.

GhostrediDector kampanyası, modern siber suçluların hem kalıcılığı hem de karı en üst düzeye çıkarmak için çoklu saldırı vektörlerini nasıl birleştirdiğini ve etkili bir şekilde tespit etmek ve hafifletmek için kapsamlı güvenlik yaklaşımları gerektiren karmaşık tehditler yarattığını göstermektedir.

Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.



Source link