Los investigadores de ciberseguridad han levantado la tapa de un clúster de amenaza previamente indocumentado llamado Ghostredirector, que comprometió al menos 65 servidores de Windows, principalmente en Brasil, Tailandia y Vietnam.
Un ataque de la compañía de ciberseguridad eslovaca ESET condujo al despliegue de una puerta trasera pasiva C ++ llamada Rungan y un módulo nativo de Servicios de Información de Internet (IIS) CodeNead Gamshen. Se cree que el actor de amenaza estaba activo desde al menos agosto de 2024.
«Rungan tiene la capacidad de ejecutar comandos en servidores comprometidos, pero el propósito de Gamshen es proporcionar estafas de SEO, lo que significa manipular los resultados de los motores de búsqueda y mejorar las clasificaciones de página para sitios web de destino configurados».
«Gamshen solo cambiará la respuesta si las solicitudes de GoogleBot, es decir, no proporcionan servicios a contenido malicioso ni afectan a los visitantes regulares del sitio web, pero la participación en esquemas de estafa SEO puede dañar la reputación de sitios web alojados comprometidos al asociarlos con técnicas de SEO y sitios web aumentados».
Otros objetivos en el grupo de piratería incluyen Perú, Estados Unidos, Canadá, Finlandia, India, Países Bajos, Filipinas y Singapur. También se dice que la actividad es indiscriminada, con entidades en la educación, la salud, el seguro, el transporte, la tecnología y los sectores minoristas que se eligen.
El acceso inicial a la red de destino se logra explotando una vulnerabilidad que probablemente sea un defecto en la inyección SQL. PowerShell se usa para entregar herramientas adicionales alojadas en el servidor de puesta en escena («868ID (.) Com»).
«Esta especulación está respaldada por la observación de que la mayoría de las ejecuciones de PowerShell no autorizadas provienen de SQLServer.exe binarios.
Rungan está diseñado para esperar las solicitudes entrantes de las URL que coinciden con los patrones predefinidos (es decir, «https: //+: 80/v1.0/8888/sys.html») y luego analiza y ejecuta los comandos integrados en ellos. Admite 4 comandos diferentes –
Cree un usuario en el servidor utilizando MKUSer, ListFolder proporcionada con un nombre de usuario y contraseña, recopile información de la ruta proporcionada (inacabada) addurl, registre una nueva URL que la puerta trasera puede escuchar en CMD y regístrese para ejecutar comandos en el servidor utilizando tuberías y createprocessa API
Escrito en C/C ++, Gamshen es un ejemplo de la familia de malware IIS llamada «Grupo 13». Esto puede actuar como una estafa de puerta trasera y una implementación de SEO. Esto funcionará de manera similar a IISerpent, otro malware específico de IIS documentado por ESET en agosto de 2021.
Configurado como una extensión maliciosa para el software del servidor web de Microsoft, IISerPent puede interceptar todas las solicitudes HTTP realizadas en los sitios web creados en servidores comprometidos, particularmente sitios web generados por los rastreadores de motores de búsqueda, y modificar la respuesta HTTP del servidor con el objetivo de redirigir el sitio web de los Engines de búsqueda a la elección del atacante.
«GhostredDirector intenta manipular las clasificaciones de búsqueda de Google para ciertos sitios web de terceros que utilizan técnicas de SEO manipuladores y sospechosos, como crear vínculos de retroceso artificiales desde sitios web legítimos y comprometidos para atacar sitios web», dijo Tavella.
Actualmente, se desconoce dónde estos vínculos de retroceso redirigirán a los usuarios desprevenidos, pero se cree que se están utilizando esquemas de estafa de SEO para promover varios sitios web de juegos de azar.
También cae junto con Rungan y Gamshen, hay varias otras herramientas –
Establezca una conexión remota para crear usuarios privilegiados en el grupo de administrador de GOTOHTTP ZUNPUT para establecer una conexión remota accesible desde el navegador web Badpotato o EFSpotato, recopile información sobre sitios web alojados en el servidor IIS, Drop ASP, PHP, JavaScript Web Shells
Ghostrredirector es un actor de amenazas, compañía china, Shenzhen Diyuan Technology Co., Ltd., alineada con China en función de la existencia de cuerdas chinas codificadas en el código fuente. Según el certificado de firma de código emitido al certificado de firma de código emitido al certificado de firma china, se califica con confianza para usar Huang Servido servido de Ghosttrededired Hirted para firmar artefactos de escalada privilegiados.
Dicho esto, Ghostreddirector no es el primer actor de amenaza relacionado con China en usar el módulo IIS malicioso para estafas de SEO. Durante el año pasado, Cisco Talos y Trend Micro han detallado un grupo de habla china conocida como Dragonrank, que se dedicó a operaciones de SEO a través de malware Badiis.
«Gamshen abusa de la confiabilidad de los sitios web alojados en servidores comprometidos y promueve sitios web de juegos de azar de terceros.
«Además de crear cuentas de usuario comprometidas, GhostredDirector demuestra persistencia y resistencia operativa mediante la implementación de múltiples herramientas de acceso remoto en servidores comprometidos para mantener el acceso a largo plazo a la infraestructura comprometida».
Source link
