GHOSTREDİRECTOR NASIL ÇALIŞIYOR?
GhostRedirector, saldırılarında daha önce bilinmeyen iki özel aracı kullanıyor:
• Rungan: Bu pasif C++ arka kapısı, ele geçirilen sunucuda komut çalıştırma yeteneği sağlıyor.
• Gamshen: Kötü amaçlı bir İnternet Bilgi Hizmetleri (IIS) modülü olan Gamshen, Google arama sonuçlarını manipüle ederek, belirli kumar sitelerinin sıralamasını yapay olarak yükseltmeyi amaçlıyor.
ESET araştırmacısı Fernando Tavella, Gamshen'in sadece Googlebot'tan gelen isteklere yanıt verdiğini ve normal site ziyaretçilerini etkilemediğini belirtiyor. Ancak bu SEO dolandırıcılığı, ana web sitesinin itibarını zedeleyebiliyor. Saldırganlar ayrıca, ele geçirdikleri sunucularda sahte kullanıcı hesapları oluşturup birden fazla uzaktan erişim aracı yerleştirerek kalıcılık sağlıyorlar.
SALDIRI MEKANİZMASI VE HEDEFLER
GhostRedirector'ın, muhtemelen SQL Enjeksiyonu gibi bilinen bir güvenlik açığını kullanarak sunuculara ilk erişimi sağladığı düşünülüyor. Saldırganlar, ele geçirdikleri sistemlere Rungan ve Gamshen gibi özel araçların yanı sıra EfsPotato ve BadPotato gibi istismarları da kullanarak ayrıcalıklarını yükseltiyor ve sisteme tam erişim sağlıyorlar. Bu ek araçlar, ana arka kapıların kaldırılması durumunda yedek olarak da kullanılabiliyor.
GhostRedirector belirli bir sektörü hedeflemese de, Brezilya, Tayland ve Vietnam'daki şirketlere kiralanan ABD merkezli sunucuların hedef alınması, grubun Latin Amerika ve Güneydoğu Asya'ya daha fazla odaklandığını gösteriyor. ESET, internet taramasıyla tespit ettiği tüm kurbanları bilgilendirdi ve bu tehdidin etkilerini azaltmaya yönelik adımlar attı.