GhostRedirector Tehditi: Küresel Bir Sorun
Son zamanlarda, siber güvenlik araştırmacıları GhostRedirector adı verilen daha önce belgelenmemiş bir tehdit kümesini ortaya çıkardılar. Bu tehdit grubu, Brezilya, Tayland ve Vietnam gibi ülkelerde bulunan en az 65 Windows sunucusunu hedef almıştır. Slovak cyber güvenlik şirketi ESET, bu saldırıların Rungan adlı bir arka kapı (backdoor) ve Gamshen kod adlı bir İnternet Bilgi Hizmetleri (IIS) modülü ile sonuçlandığını bildiriyor.
Rungan ve Gamshen: Saldırının Çiçeği
Rungan, C++ dilinde yazılmış pasif bir arka kapıdır. Bu arka kapı, savunmasız sunucularda komutları çalıştırma yeteneğine sahiptir. Gamshen ise SEO dolandırıcılığı sağlamak amacıyla tasarlanmış bir modüldür. ESET araştırmacısı Fernando Tavella, “Gamshen, sadece Googlebot’tan gelen talepleri değiştirdiği için, normal ziyaretçilere herhangi bir zararlı içerik sunmuyor. Ancak, SEO dolandırıcılığına katılmak, hedef alan web sitesinin itibarını olumsuz etkileyebilir” demektedir.
Saldırının Hedefleri ve Yöntemleri
Saldırganların hedefleri arasında Peru, ABD, Kanada, Finlandiya, Hindistan, Hollanda, Filipinler ve Singapur da bulunmaktadır. Bu faaliyetler, eğitim, sağlık, sigorta, ulaşım, teknoloji ve perakende sektörleri gibi birçok alanda rastgele olarak gerçekleşmektedir. Hedef ağlara erişim genellikle bir SQL enjeksiyon açığı kullanılarak sağlanmakta ve daha sonra PowerShell aracılığıyla ek araçlar, “868id[.]com” adlı bir hazırlık sunucusundan yüklenmektedir.
ESET’in açıklamalarına göre, yetkisiz PowerShell icraatlarının çoğunluğunun sqlserver.exe adlı bir ikili dosyadan kaynaklandığı gözlemlenmiştir. Bu dosya, bir makina üzerinde komutları çalıştırmak için kullanılabilecek bir saklı prosedür olan xp_cmdshell‘i barındırmaktadır.
Yürütülen Komutlar ve Özellikleri
Rungan, önceden tanımlanmış bir URL şemasını bekleyerek gelen talepleri analiz eder ve bu talepler içindeki komutları yürütür. Desteklediği dört ana komut şunlardır:
- mkuser: Sunucuda belirtilen kullanıcı adı ve şifre ile yeni bir kullanıcı oluşturur.
- listfolder: Belirtilen yoldan bilgi toplar.
- addurl: Arka kapının dinleyebileceği yeni URL’ler kaydeder.
- cmd: Sunucuda borular ve CreateProcessA API kullanarak bir komut çalıştırır.
Gamshen: IIS Malware Ailesinin Bir Üyesi
Gamshen, ESET tarafından Ağustos 2021‘de belgelenen IISerpent adlı başka bir IIS özel kötü amaçlı yazılımla benzerlik göstermektedir. Gamshen, hedef sunuculardaki web sitelerine yönelik HTTP isteklerini alır ve bu istekler üzerinden yanıt değişiklikleri yaparak arama motorlarını dolandırıcılıkla yönlendirir.
Tavella, “GhostRedirector, belirli bir üçüncü taraf web sitesinin Google arama sıralamasını manipüle etmeye çalışıyor. Bu işlem, meşru, ele geçirilmiş bir web sitesinden hedef web sitesine yapay geri bağlantılar oluşturarak gerçekleştiriliyor” şeklinde ifade eder. Bu bağlantıların nereye yönlendirildiği bilinmemekle birlikte, SEO dolandırıcılığı şemasının çeşitli kumar sitelerini teşvik etmek amacıyla kullanıldığı düşünülmektedir.
Diğer İlgili Araçlar
Rungan ve Gamshen ile birlikte düşürülen diğer araçlar arasında:
- GoToHTTP: Web tarayıcısından erişilebilen bir uzaktan bağlantı kurmak için kullanılır.
- BadPotato veya EfsPotato: Yöneticiler grubuna ayrıcalıklı bir kullanıcı yaratma amacı taşır.
- Zunput: IIS sunucusunda barındırılan web siteleri hakkında bilgi toplar ve ASP, PHP, ve JavaScript web shell’leri bırakır.
GhostRedirector’un Arka Planı
GhostRedirector’un potansiyel olarak Çin‘le bağlantılı bir tehdit aktörü olduğu, kaynak kodundaki hard-coded Çince dizelerin varlığı, Çin merkezli bir şirketten alınmış bir kod imzalama sertifikası ve oluşturulan kullanıcı için “huang” şifresinin kullanılmasıyla değerlendirilmektedir. Ayrıca, GhostRedirector’un kötü niyetli IIS modüllerini SEO dolandırıcılığı için kullanan ilk Çin bağlantılı tehdit aktörü olmadığı da kaydedilmiştir.
Sonuç olarak, GhostRedirector, ele geçirilen sunucularda uzun süreli erişim sağlamak amacıyla birden fazla uzaktan erişim aracı uygulaması ve sahte kullanıcı hesapları oluşturması gibi stratejilerle kendini göstermektedir. Dolayısıyla, hem bireysel kullanıcılar hem de kurumlar için siber güvenlik önlemlerinin artırılması gerektiği bir kez daha ortaya çıkıyor.
