GhostrediDector, Rungan Backdoor ve Gamshen IIS Modülünü kullanarak 65 Windows Sunucuları Hacks


Siber güvenlik araştırmacıları, daha önce belgelenmemiş bir tehdit kümesinde kapağı kaldırdı Ghostredictor Bu, öncelikle Brezilya, Tayland ve Vietnam’da bulunan en az 65 Windows sunucusundan ödün vermeyi başardı.

Slovak siber güvenlik şirketi ESET’e göre saldırılar, Rungan adlı pasif bir C ++ arka kapının ve Gamshen adlı bir yerli İnternet Bilgi Hizmetleri (IIS) modülünün konuşlandırılmasına yol açtı. Tehdit oyuncunun en azından Ağustos 2024’ten beri aktif olduğuna inanılıyor.

ESET araştırmacısı Fernando Tavella, “Rungan, uzlaşılmış bir sunucuda komutlar yürütme özelliğine sahip olsa da, Gamshen’in amacı, SEO sahtekarlığı olarak SEO sahtekarlığı, yani arama motoru sonuçlarını manipüle etmek, yapılandırılmış bir hedef web sitesinin sayfa sıralamasını artırmaktır.” Dedi.

“Gamshen yanıtı yalnızca isteği Googlebot’tan geldiğinde değiştirse de – yani, kötü niyetli içeriğe hizmet etmiyor veya web sitelerinin düzenli ziyaretçilerini başka bir şekilde etkilemiyor – SEO sahtekarlığı planına katılım, tehlikeye atılan ev sahibi web sitesinin itibarına gölgeli SEO teknikleri ve artırılmış web siteleriyle ilişkilendirerek zarar verebilir.”

Denetim ve ötesi

Hacking grubunun diğer hedeflerinden bazıları Peru, ABD, Kanada, Finlandiya, Hindistan, Hollanda, Filipinler ve Singapur’dur. Etkinliğin, eğitim, sağlık, sigorta, ulaşım, teknoloji ve perakende sektörlerindeki kuruluşlarla birlikte ayrım gözetmeyen olduğu söyleniyor.

Hedef ağlara ilk erişim, bir güvenlik açığı, muhtemelen bir SQL enjeksiyon kusuru yararlanarak gerçekleştirilir, bundan sonra PowerShell bir evreleme sunucusunda barındırılan ek araçlar sunmak için kullanılır (“868ID[.]com “).

Eset, “Bu varsayım, en yetkisiz PowerShell infazlarının, bir makinede komutları yürütmek için kullanılabilecek saklı bir XP_CMDShell prosedürüne sahip olan ikili SQLServer.exe’den kaynaklandığı gözlemimizle desteklenmektedir.” Dedi.

Rungan, önceden tanımlanmış bir desenle eşleşen bir URL’den gelen istekleri beklemek için tasarlanmıştır (yani, “https: //+: 80/v1.0/8888/sys.html”) ve daha sonra içine yerleştirilmiş komutları ayrıştırmaya ve yürütmeye devam eder. Dört farklı komutu destekler –

  • Mkuser, sunucuda kullanıcı adı ve parola ile bir kullanıcı oluşturmak için
  • ListFolder, sağlanan bir yoldan bilgi toplamak için (bitmemiş)
  • Addurl, arka kapının dinleyebileceği yeni URL’leri kaydetmek için
  • CMD, boruları ve CreateProcessa API’sini kullanarak sunucuda bir komut çalıştırmak için

C/C ++ ile yazılan Gamshen, hem arka kapı olarak hareket edebilen hem de SEO sahtekarlığı yapabilen “Grup 13” adlı bir IIS kötü amaçlı yazılım ailesinin bir örneğidir. Ağustos 2021’de ESET tarafından belgelenen bir başka IIS’e özgü kötü amaçlı yazılım olan IISerpent’e benzer şekilde çalışır.

Microsoft’un Web Server yazılımı için kötü niyetli bir uzantı olarak yapılandırılan IISerpent, uzlaşmış sunucu tarafından barındırılan web sitelerine, özellikle arama motoru tarayıcılarından kaynaklanan tüm HTTP isteklerini kesmesine ve Saldırı’nın Survayı’nın bir Scam web sitesine yeniden yönlendirme amacıyla sunucunun HTTP yanıtlarını değiştirmesine izin verir.

Tavella, “Ghostredirector, meşru, uzlaşmış web sitesinden hedef web sitesine yapay geri bağlantılar oluşturmak gibi manipülatif, gölgeli SEO tekniklerini kullanarak belirli, üçüncü taraf bir web sitesinin Google arama sıralamasını manipüle etmeye çalışıyor.” Dedi.

Şu anda bu geri bağlantıların şüphesiz kullanıcıları nereye yönlendirdiği bilinmemektedir, ancak SEO sahtekarlığı planının çeşitli kumar web sitelerini tanıtmak için kullanıldığına inanılmaktadır.

Rungan ve Gamshen ile birlikte başka çeşitli araçlar da var –

  • Bir web tarayıcısından erişilebilen bir uzaktan bağlantı kurmak için gotohttp
  • Yöneticiler Grubunda ayrıcalıklı bir kullanıcı oluşturmak için badpotato veya efspotato
  • Zunput IIS Server’da barındırılan web siteleri hakkında bilgi toplamak ve ASP, PHP ve JavaScript Web Kabuklarını Drop Drop
CIS Yapı Kitleri

Ghostrediector’ın kaynak kodunda sert kodlanmış Çin dizelerinin varlığına dayanan Çin ile hizalanmış bir tehdit oyuncusu olduğu, bir Çin şirketine, Shenzhen Diyuan Technology Co., Ltd.’ye verilen bir kod imzalama sertifikası olduğu ve GhoStred’tan bir parola için ayrıcalıktan oluşan bir şekilde kullanılması için bir kod imzalama sertifikası olduğu ve bir kod imzalama sertifikası olduğu ve bir şekilde kullanılması için kullanılması için kullanıldığı için, bir kod imzalama sertifikası olduğu ve bir kod imzalama sertifikası olduğu yönündedir. sunucu.

Bununla birlikte, Ghostrediector SEO sahtekarlığı için kötü niyetli IIS modüllerini kullanan ilk Çin bağlantılı tehdit aktörü değil. Geçtiğimiz yıl, hem Cisco Talos hem de Trend Micro, Badiis kötü amaçlı yazılım aracılığıyla SEO manipülasyonu yapan DragonRank olarak bilinen Çince konuşan bir grubu detaylandırdı.

Şirket, “Gamshen, üçüncü taraf, kumar web sitesini tanıtmak için tehlikeye atılan sunucuda barındırılan web sitelerinin güvenilirliğini kötüye kullanıyor-potansiyel olarak bir SEO sahtekarlığına katılan ödeme yapan bir müşteri.”

“Ghostrediector ayrıca, tehlikeye atılan altyapıya uzun vadeli erişimi sürdürmek için, haydut kullanıcı hesapları oluşturmanın yanı sıra, tehlikeye atılan sunucuda birden fazla uzaktan erişim aracı dağıtarak kalıcılık ve operasyonel esneklik gösterir.”



Source link