Siber güvenlik çözümlerinde dünya lideri ESET, GhostRedirector adını verdiği yeni bir tehdit aktörü keşfetti. ESET araştırmacıları, Haziran 2025’te yapılan bir internet taramasına nazaran en az 65 Windows sunucusunun ele geçirildiğini gözlemledi. ESET, bu taarruzların ardında daha evvel bilinmeyen, GhostRedirector ismini verdiği Çin ile ilişkili bir tehdit aktörünün olabileceğine inanıyor. Kurbanlar çoğunlukla Brezilya, Tayland, Vietnam ve Amerika Birleşik Devletleri’nde bulunuyor ve sigorta, sıhhat, perakende, ulaşım, teknoloji ve eğitim üzere çeşitli kesimleri temsil ediyor.
ESET Research tarafından Haziran ayında keşfedilen ve GhostRedirector olarak isimlendirilen tehdit aktörü başta Brezilya, Tayland, Vietnam ve Amerika Birleşik Devletleri olmak üzere en az 65 Windows sunucusunu ele geçirdi. Öbür kurbanlar Kanada, Finlandiya, Hindistan, Hollanda, Filipinler ve Singapur’da bulunuyordu. GhostRedirector, daha evvel belgelenmemiş iki özel araç kullanıyor: Rungan ismi verilen pasif bir C++ art kapısı ve Gamshen ismi verilen makus gayeli bir İnternet Bilgi Hizmetleri (IIS) modülü. Rungan, ele geçirilen bir sunucuda komutları yürütme yeteneğine sahipken Gamshen, Google arama motoru sonuçlarını manipüle etmek için SEO dolandırıcılığı hizmeti sunmak ve yapılandırılmış bir gaye web sitesinin sayfa sıralamasını yükseltmeyi hedefliyor. Maksadı, çeşitli kumar web sitelerini yapay olarak tanıtmaktır.
ESET araştırmacısı Fernando Tavella,”Gamshen, sadece Googlebot’tan gelen isteklerde cevabı değiştiriyor, yani berbat gayeli içerik sunmuyor yahut web sitelerinin olağan ziyaretçilerini etkilemiyor. Fakat SEO dolandırıcılığına katılmak, güvenliği ihlal edilmiş ana web sitesinin prestijini, onu kuşkulu SEO teknikleriyle ve yükseltilmiş web siteleriyle ilişkilendirerek zedeleyebilir. GhostRedirector, ele geçirilen altyapıya uzun vadeli erişimi sürdürmek hedefiyle geçersiz kullanıcı hesapları oluşturmanın yanı sıra ele geçirilen sunucuya birden fazla uzaktan erişim aracı yerleştirerek kalıcılık ve operasyonel dayanıklılık da sergilemektedir” açıklamasını yaptı.
GhostRedirector, Rungan ve Gamshen’in yanı sıra EfsPotato ve BadPotato üzere bilinen istismarlara ek olarak sunucuda daha yüksek ayrıcalıklara sahip öbür makûs emelli bileşenleri indirmek ve yürütmek için kullanılabilecek ayrıcalıklı bir kullanıcı oluşturmak için bir dizi öbür özel araç da kullanır. Alternatif olarak Rungan art kapısı yahut öteki makûs gayeli araçlar güvenliği ihlal edilmiş sunucudan kaldırılırsa yedek olarak da kullanılabilir.
Kurbanlar farklı coğrafik bölgelerde bulunsa da Amerika Birleşik Devletleri adresinde bulunan güvenliği ihlal edilmiş sunucuların birden fazla, öteki güvenliği ihlal edilmiş sunucuların bulunduğu Brezilya, Tayland ve Vietnam’da bulunan şirketlere kiralanmış üzere görünüyor. Bu nedenle ESET Research, GhostRedirector’ın Latin Amerika ve Güneydoğu Asya’daki kurbanları maksat almaya daha fazla ilgi duyduğunu düşünüyor. GhostRedirector muhakkak bir dikey yahut bölüme ilgi göstermedi; ESET, eğitim, sıhhat, sigorta, ulaşım, teknoloji ve perakende dâhil olmak üzere birçok kesimden kurbanlar tespit etti.
ESET telemetrisine nazaran, GhostRedirector muhtemelen bir güvenlik açığını, büyük olasılıkla bir SQL Enjeksiyonunu kullanarak kurbanlarına birinci erişim sağlıyor. Saldırganlar bir Windows sunucusunu ele geçirip çeşitli makus maksatlı araçlar indirip çalıştırıyor: Ayrıcalık yükseltme aracı, birden fazla webshell bırakan berbat emelli yazılım yahut daha evvel bahsedilen art kapı ve IIS Truva atı. Ayrıcalık yükseltme araçlarının bariz hedefine ek olarak, küme ele geçirilen sunucuya erişimini kaybetmesi durumunda yedek olarak da kullanılabilirler. Art kapı yetenekleri ortasında ağ bağlantısı, belge yürütme, dizin listeleme ve hem Hizmetler hem de Windows kayıt defteri anahtarlarını manipüle etme yer alıyor.
ESET telemetri, Aralık 2024 ile Nisan 2025 ortasında GhostRedirector tarafından gerçekleştirilen akınları ve Haziran 2025’te internet çapında yapılan bir tarama ile daha fazla kurban tespit etti. ESET, tarama yoluyla tespit ettiği tüm mağdurları, güvenliği ihlal edildiği konusunda bilgilendirdi.
Kaynak: (BYZHA) Beyaz Haber Ajansı