Los investigadores de ciberseguridad han levantado la tapa en un clúster de amenaza previamente indocumentado doblado Ghostredirector Eso ha logrado comprometer al menos 65 servidores de Windows ubicados principalmente en Brasil, Tailandia y Vietnam.
Los ataques, según la empresa de ciberseguridad eslovaca ESET, llevaron a la implementación de una puerta trasera pasiva C ++ llamada Rungan y un módulo nativo de Información de Internet (IIS) con nombre en código Gamshen. Se cree que el actor de amenaza está activo desde al menos agosto de 2024.
«Si bien Rungan tiene la capacidad de ejecutar comandos en un servidor comprometido, el propósito de Gamshen es proporcionar fraude de SEO como servicio, es decir, para manipular los resultados de los motores de búsqueda, aumentar la clasificación de la página de un sitio web objetivo configurado», dijo el investigador de ESET Fernando Tavella en un informe compartido con las noticias del hacker.
«Aunque Gamshen solo modifica la respuesta cuando la solicitud proviene de GoogleBot, es decir, no sirve contenido malicioso o de otra manera afecta a los visitantes regulares de los sitios web, la participación en el esquema de fraude SEO puede dañar la reputación del sitio web de host comprometido al asociarlo con las técnicas sombreadas de SEO y los sitios web impulsados».
Algunos de los otros objetivos del grupo de piratería incluyen Perú, Estados Unidos, Canadá, Finlandia, India, Países Bajos, Filipinas y Singapur. También se dice que la actividad es indiscriminada, con entidades de educación, atención médica, seguro, transporte, tecnología y sectores minoristas destacados.
El acceso inicial a las redes de destino se logra explotando una vulnerabilidad, probablemente un defecto de inyección SQL, después de lo cual PowerShell se utiliza para entregar herramientas adicionales alojadas en un servidor de puesta en escena («868ID (.) Com»).
«Esta conjetura está respaldada por nuestra observación de que la mayoría de las ejecuciones de PowerShell no autorizadas se originaron en el binario sqlserver.exe, que posee un procedimiento almacenado XP_CMDSHELL que puede usarse para ejecutar comandos en una máquina», dijo Eset.
Rungan está diseñado para esperar solicitudes entrantes de una URL que coincida con un patrón predefinido (es decir, «https: //+: 80/v1.0/8888/sys.html»), y luego procede a analizar y ejecutar los comandos incrustados en ellos. Admite cuatro comandos diferentes –
- mkuser, para crear un usuario en el servidor con el nombre de usuario y la contraseña proporcionados
- Listfolder, para recopilar información de una ruta proporcionada (sin terminar)
- Addurl, para registrar nuevas URL en las que la puerta trasera puede escuchar
- CMD, para ejecutar un comando en el servidor usando tuberías y la API Createprocessa
Escrito en C/C ++, Gamshen es un ejemplo de una familia de malware IIS llamada «Grupo 13», que puede actuar tanto como una puerta trasera como para conducir fraude SEO. Funciona similar a IISERPENT, otro malware específico de IIS que fue documentado por ESET en agosto de 2021.
IISerPent, configurado como una extensión maliciosa para el software del servidor web de Microsoft, le permite interceptar todas las solicitudes HTTP hechas a los sitios web alojados por el servidor comprometido, específicamente aquellos que se originan en los rastreadores de motores de búsqueda, y cambiar las respuestas HTTP del servidor con el objetivo de redirigir los motores de búsqueda en un sitio web Scam de elección del atacante.
«Ghostredirector intenta manipular la clasificación de búsqueda de Google de un sitio web específico de terceros mediante el uso de técnicas de SEO manipuladores y sombreados, como crear vínculos de retroceso artificiales desde el sitio web legítimo y comprometido hasta el sitio web objetivo», dijo Tavella.
Actualmente no se sabe dónde estos vínculos de retroceso redirigen a los usuarios desprevenidos, pero se cree que el esquema de fraude SEO se está utilizando para promover varios sitios web de juegos de azar.
También se lanzaron junto a Rungan y Gamshen hay varias otras herramientas –
- GOTOHTTP para establecer una conexión remota a la que sea accesible desde un navegador web
- Badpotato o EFSpotato para crear un usuario privilegiado en el grupo de administradores
- ZUNPUT para recopilar información sobre sitios web alojados en el servidor IIS y Drop ASP, PHP y JavaScript Web Shells
Se evalúa con la confianza media de que Ghostredirector es un actor de amenaza alineado por China basado en la presencia de cadenas chinas codificadas en el código fuente, un certificado de firma de código emitido a una empresa china, Shenzhen Diyuan Technology Co., Ltd., para firmar los usuarios de privilegio de privilegio y el uso de la contraseña «para una contraseña» para uno de los que se concentren a los usuarios de los Ghostreated. servidor.
Dicho esto, Ghostredirector no es el primer actor de amenaza vinculado a China para usar módulos IIS maliciosos para el fraude de SEO. Durante el año pasado, tanto Cisco Talos como Trend Micro han detallado un grupo de habla china conocida como Dragonrank que se ha dedicado a la manipulación de SEO a través de malware Badiis.
«Gamshen abusa de la credibilidad de los sitios web alojados en el servidor comprometido para promover un sitio web de juego de terceros, potencialmente un cliente que participe en un esquema de servicio de fraude de SEO», dijo la compañía.
«Ghostredirector también demuestra persistencia y resistencia operativa mediante la implementación de múltiples herramientas de acceso remoto en el servidor comprometido, además de la creación de cuentas de usuarios deshonestos, todo para mantener el acceso a largo plazo a la infraestructura comprometida».