Los investigadores de ciberseguridad han sublime la tapa en un clúster de amenaza previamente indocumentado doblado Ghostredirector Eso ha acabado comprometer al menos 65 servidores de Windows ubicados principalmente en Brasil, Tailandia y Vietnam.
Los ataques, según la empresa de ciberseguridad eslovaca ESET, llevaron a la implementación de una puerta trasera pasiva C ++ convocatoria Rungan y un módulo nativo de Información de Internet (IIS) con nombre en código Gamshen. Se cree que el actor de amenaza está activo desde al menos agosto de 2024.
«Si aceptablemente Rungan tiene la capacidad de ejecutar comandos en un servidor comprometido, el propósito de Gamshen es proporcionar fraude de SEO como servicio, es asegurar, para manipular los resultados de los motores de búsqueda, aumentar la clasificación de la página de un sitio web objetivo configurado», dijo el investigador de ESET Fernando Tavella en un mensaje compartido con las telediario del hacker.
«Aunque Gamshen solo modifica la respuesta cuando la solicitud proviene de GoogleBot, es asegurar, no sirve contenido ladino o de otra modo afecta a los visitantes regulares de los sitios web, la billete en el esquema de fraude SEO puede dañar la reputación del sitio web de host comprometido al asociarlo con las técnicas sombreadas de SEO y los sitios web impulsados».
Algunos de los otros objetivos del colección de piratería incluyen Perú, Estados Unidos, Canadá, Finlandia, India, Países Bajos, Filipinas y Singapur. Incluso se dice que la actividad es indiscriminada, con entidades de educación, atención médica, seguro, transporte, tecnología y sectores minoristas destacados.
El comunicación original a las redes de destino se logra explotando una vulnerabilidad, probablemente un defecto de inyección SQL, posteriormente de lo cual PowerShell se utiliza para entregar herramientas adicionales alojadas en un servidor de puesta en campo («868ID (.) Com»).
«Esta conjetura está respaldada por nuestra observación de que la mayoría de las ejecuciones de PowerShell no autorizadas se originaron en el binario sqlserver.exe, que posee un procedimiento almacenado XP_CMDSHELL que puede estar de moda para ejecutar comandos en una máquina», dijo Eset.
Rungan está diseñado para esperar solicitudes entrantes de una URL que coincida con un patrón predefinido (es asegurar, «https: //+: 80/v1.0/8888/sys.html»), y luego procede a analizar y ejecutar los comandos incrustados en ellos. Admite cuatro comandos diferentes –
- mkuser, para crear un heredero en el servidor con el nombre de heredero y la contraseña proporcionados
- Listfolder, para compilar información de una ruta proporcionada (sin terminar)
- Addurl, para registrar nuevas URL en las que la puerta trasera puede escuchar
- CMD, para ejecutar un comando en el servidor usando tuberías y la API Createprocessa
Escrito en C/C ++, Gamshen es un ejemplo de una grupo de malware IIS convocatoria «Montón 13», que puede interpretar tanto como una puerta trasera como para conducir fraude SEO. Funciona similar a IISERPENT, otro malware específico de IIS que fue documentado por ESET en agosto de 2021.
IISerPent, configurado como una extensión maliciosa para el software del servidor web de Microsoft, le permite interceptar todas las solicitudes HTTP hechas a los sitios web alojados por el servidor comprometido, específicamente aquellos que se originan en los rastreadores de motores de búsqueda, y cambiar las respuestas HTTP del servidor con el objetivo de redirigir los motores de búsqueda en un sitio web Scam de dilema del atacante.
«Ghostredirector intenta manipular la clasificación de búsqueda de Google de un sitio web específico de terceros mediante el uso de técnicas de SEO manipuladores y sombreados, como crear vínculos de retroceso artificiales desde el sitio web lícito y comprometido hasta el sitio web objetivo», dijo Tavella.
Actualmente no se sabe dónde estos vínculos de retroceso redirigen a los usuarios desprevenidos, pero se cree que el esquema de fraude SEO se está utilizando para promover varios sitios web de juegos de azar.
Incluso se lanzaron yuxtapuesto a Rungan y Gamshen hay varias otras herramientas –
- GOTOHTTP para establecer una conexión remota a la que sea accesible desde un navegador web
- Badpotato o EFSpotato para crear un heredero privilegiado en el colección de administradores
- ZUNPUT para compilar información sobre sitios web alojados en el servidor IIS y Drop ASP, PHP y JavaScript Web Shells
Se evalúa con la confianza media de que Ghostredirector es un actor de amenaza simpatizante por China basado en la presencia de cadenas chinas codificadas en el código fuente, un certificado de firma de código emitido a una empresa china, Shenzhen Diyuan Technology Co., Ltd., para firmar los usuarios de privilegio de privilegio y el uso de la contraseña «para una contraseña» para uno de los que se concentren a los usuarios de los Ghostreated. servidor.
Dicho esto, Ghostredirector no es el primer actor de amenaza vinculado a China para usar módulos IIS maliciosos para el fraude de SEO. Durante el año pasado, tanto Cisco Talos como Trend Micro han detallado un colección de palabra china conocida como Dragonrank que se ha dedicado a la manipulación de SEO a través de malware Badiis.
«Gamshen abusa de la credibilidad de los sitios web alojados en el servidor comprometido para promover un sitio web de bisagra de terceros, potencialmente un cliente que participe en un esquema de servicio de fraude de SEO», dijo la compañía.
«Ghostredirector todavía demuestra persistencia y resistor operativa mediante la implementación de múltiples herramientas de comunicación remoto en el servidor comprometido, encima de la creación de cuentas de usuarios deshonestos, todo para ayudar el comunicación a holgado plazo a la infraestructura comprometida».
