ESET yeni bir tehdit grubu keşfetti

ESET, bu saldırıların arkasında daha önce bilinmeyen, GhostRedirector adını verdiği Çin ile bağlantılı bir tehdit aktörünün olabileceğine inanıyor. Kurbanlar çoğunlukla Brezilya, Tayland, Vietnam ve Amerika Birleşik Devletleri'nde bulunuyor ve  sigorta, sağlık, perakende, ulaşım, teknoloji ve eğitim gibi çeşitli sektörleri temsil ediyor.

ESET Research tarafından Haziran ayında keşfedilen  ve  GhostRedirector olarak adlandırılan tehdit aktörü başta Brezilya, Tayland, Vietnam ve Amerika Birleşik Devletleri olmak üzere en az 65 Windows sunucusunu ele geçirdi. Diğer kurbanlar Kanada, Finlandiya, Hindistan, Hollanda, Filipinler ve Singapur'da bulunuyordu. GhostRedirector, daha önce belgelenmemiş iki özel araç kullanıyor: Rungan adı verilen pasif bir C++ arka kapısı ve Gamshen adı verilen kötü amaçlı bir İnternet Bilgi Hizmetleri (IIS) modülü. Rungan, ele geçirilen bir sunucuda komutları yürütme yeteneğine sahipken Gamshen, Google arama motoru sonuçlarını manipüle etmek için SEO dolandırıcılığı hizmeti sunmak ve yapılandırılmış bir hedef web sitesinin sayfa sıralamasını yükseltmeyi hedefliyor. Amacı, çeşitli kumar web sitelerini yapay olarak tanıtmaktır.

ESET araştırmacısı Fernando Tavella,"Gamshen, yalnızca Googlebot'tan gelen isteklerde yanıtı değiştiriyor, yani kötü amaçlı içerik sunmuyor veya web sitelerinin normal ziyaretçilerini etkilemiyor. Ancak SEO dolandırıcılığına katılmak, güvenliği ihlal edilmiş ana web sitesinin itibarını, onu şüpheli SEO teknikleriyle ve yükseltilmiş web siteleriyle ilişkilendirerek zedeleyebilir. GhostRedirector, ele geçirilen altyapıya uzun vadeli erişimi sürdürmek amacıyla sahte kullanıcı hesapları oluşturmanın yanı sıra ele geçirilen sunucuya birden fazla uzaktan erişim aracı yerleştirerek kalıcılık ve operasyonel dayanıklılık da sergilemektedir" açıklamasını yaptı. 

GhostRedirector, Rungan ve Gamshen'in yanı sıra EfsPotato ve BadPotato gibi bilinen istismarlara ek olarak sunucuda daha yüksek ayrıcalıklara sahip diğer kötü amaçlı bileşenleri indirmek ve yürütmek için kullanılabilecek ayrıcalıklı bir kullanıcı oluşturmak için bir dizi başka özel araç da kullanır. Alternatif olarak Rungan arka kapısı veya diğer kötü amaçlı araçlar güvenliği ihlal edilmiş sunucudan kaldırılırsa yedek olarak da kullanılabilir.

Kurbanlar farklı coğrafi bölgelerde bulunsa da Amerika Birleşik Devletleri adresinde bulunan güvenliği ihlal edilmiş sunucuların çoğu, diğer güvenliği ihlal edilmiş sunucuların bulunduğu Brezilya, Tayland ve Vietnam'da bulunan şirketlere kiralanmış gibi görünüyor. Bu nedenle ESET Research, GhostRedirector'ın Latin Amerika ve Güneydoğu Asya'daki kurbanları hedef almaya daha fazla ilgi duyduğunu düşünüyor. GhostRedirector belirli bir dikey veya sektöre ilgi göstermedi; ESET, eğitim, sağlık, sigorta, ulaşım, teknoloji ve perakende dâhil olmak üzere birçok sektörden kurbanlar tespit etti.

ESET telemetrisine göre, GhostRedirector muhtemelen bir güvenlik açığını, büyük olasılıkla bir SQL Enjeksiyonunu kullanarak kurbanlarına ilk erişim sağlıyor.  Saldırganlar bir Windows sunucusunu ele geçirip çeşitli kötü amaçlı araçlar indirip çalıştırıyor: Ayrıcalık yükseltme aracı, birden fazla webshell bırakan kötü amaçlı yazılım veya daha önce bahsedilen arka kapı ve IIS Truva atı. Ayrıcalık yükseltme araçlarının bariz amacına ek olarak, grup ele geçirilen sunucuya erişimini kaybetmesi durumunda yedek olarak da kullanılabilirler. Arka kapı yetenekleri arasında ağ iletişimi, dosya yürütme, dizin listeleme ve hem Hizmetler hem de Windows kayıt defteri anahtarlarını manipüle etme yer alıyor. 

ESET telemetri, Aralık 2024 ile Nisan 2025 arasında GhostRedirector tarafından gerçekleştirilen saldırıları ve Haziran 2025'te internet çapında yapılan bir tarama ile daha fazla kurban tespit etti. ESET, tarama yoluyla tespit ettiği tüm mağdurları, güvenliği ihlal edildiği konusunda bilgilendirdi.