GhostRedirector adlı yeni bir tehdit aktörü keşfedildi. Güvenlik araştırmacıları, Haziran 2025’te yapılan bir internet taramasına göre en az 65 Windows sunucusunun ele geçirildiğini gözlemledi.
Haziran ayında keşfedilen ve GhostRedirector olarak adlandırılan tehdit aktörü başta Brezilya, Tayland, Vietnam ve Amerika Birleşik Devletleri olmak üzere en az 65 Windows sunucusunu ele geçirdi.
Diğer kurbanlar Kanada, Finlandiya, Hindistan, Hollanda, Filipinler ve Singapur’da bulunuyordu. GhostRedirector, daha önce belgelenmemiş iki özel araç kullanıyor: Rungan adı verilen pasif bir C++ arka kapısı ve Gamshen adı verilen kötü amaçlı bir İnternet Bilgi Hizmetleri (IIS) modülü. Rungan, ele geçirilen bir sunucuda komutları yürütme yeteneğine sahipken Gamshen, Google arama motoru sonuçlarını manipüle etmek için SEO dolandırıcılığı hizmeti sunmak ve yapılandırılmış bir hedef web sitesinin sayfa sıralamasını yükseltmeyi hedefliyor. Amacı, çeşitli kumar web sitelerini yapay olarak tanıtmaktır.
GhostRedirector, Rungan ve Gamshen’in yanı sıra EfsPotato ve BadPotato gibi bilinen istismarlara ek olarak sunucuda daha yüksek ayrıcalıklara sahip diğer kötü amaçlı bileşenleri indirmek ve yürütmek için kullanılabilecek ayrıcalıklı bir kullanıcı oluşturmak için bir dizi başka özel araç da kullanır. Alternatif olarak Rungan arka kapısı veya diğer kötü amaçlı araçlar güvenliği ihlal edilmiş sunucudan kaldırılırsa yedek olarak da kullanılabilir.
Kurbanlar farklı coğrafi bölgelerde bulunsa da Amerika Birleşik Devletleri adresinde bulunan güvenliği ihlal edilmiş sunucuların çoğu, diğer güvenliği ihlal edilmiş sunucuların bulunduğu Brezilya, Tayland ve Vietnam’da bulunan şirketlere kiralanmış gibi görünüyor. Bu nedenle güvenlik araştırmacıları, GhostRedirector’ın Latin Amerika ve Güneydoğu Asya’daki kurbanları hedef almaya daha fazla ilgi duyduğunu düşünüyor. GhostRedirector belirli bir dikey veya sektöre ilgi göstermedi; eğitim, sağlık, sigorta, ulaşım, teknoloji ve perakende dâhil olmak üzere birçok sektörden kurbanlar tespit etti.
GhostRedirector muhtemelen bir güvenlik açığını, büyük olasılıkla bir SQL Enjeksiyonunu kullanarak kurbanlarına ilk erişim sağlıyor. Saldırganlar bir Windows sunucusunu ele geçirip çeşitli kötü amaçlı araçlar indirip çalıştırıyor: Ayrıcalık yükseltme aracı, birden fazla webshell bırakan kötü amaçlı yazılım veya daha önce bahsedilen arka kapı ve IIS Truva atı. Ayrıcalık yükseltme araçlarının bariz amacına ek olarak, grup ele geçirilen sunucuya erişimini kaybetmesi durumunda yedek olarak da kullanılabilirler. Arka kapı yetenekleri arasında ağ iletişimi, dosya yürütme, dizin listeleme ve hem Hizmetler hem de Windows kayıt defteri anahtarlarını manipüle etme yer alıyor.
Porsche ve Audi, Tesla’nın Süper Şarj Ağına Katıldı: İşte Tarihler ve Detaylar
