Новий екіпаж з кіберзлочинності на ім'я Ghostredirector під назвою Ghostredirector поставив під загрозу щонайменше 65 серверів Windows у всьому світі – помічене в червневому Інтернет -скануванні – використовуючи раніше недокументовані зловмисне програмне забезпечення до рейтингу азартних сайтів соків у пошуках Google, повідомляють дослідники ESET.
Інфекції розпочалися в грудні, хоча інші пов'язані з ними зразки зловмисного програмного забезпечення вказують на те, що група активна з принаймні серпня 2024 року, зазначила команда Intel Fire Firl.
Ghostredirector використовує різноманітні користувацькі інструменти, включаючи два ніколи не бачені фрагменти зловмисного програмного забезпечення, які дослідники отримали назву Rungan, що є пасивним бадьорим C ++, та Gamshen, зловмисною інформаційною інформаційною службами (IIS), який маніпулює результатами пошуку Google для оптимізації пошукових систем (SEO).
Потім сайти потерпілих показують версії своїх веб -сторінок GoogleBot, які допоможуть певним азартним сайтам отримати ранг. Наприклад, вони можуть включати фальшиві зворотні посилання до цих азартних доменів, обдурюючи улюблену пошукову систему кожного, думаючи, що ці сайти дуже рекомендуються іншими.
У той час як більшість заражених серверів знаходяться в Бразилії, Перу, Таїланді, В'єтнамі та США, “Ми вважаємо, що Ghstredirector був більш зацікавлений у націлюванні на жертв у Південній Америці та Південній Азії”, – йдеться у звіті про зловмисне програмне забезпечення Фернандо Тавелла. Крім того, додав він, що банда, схоже, не спрямована на конкретний сектор з жертвами цієї кампанії, включаючи освіту, охорону здоров'я, страхування, транспорт, технології та роздрібні організації.
Дослідники підозрюють, що злочинці отримали початковий доступ, використовуючи ймовірну помилку ін'єкцій SQL. Потім вони використовували PowerShell для завантаження інструментів ескалації привілеїв Windows, крапельки та двох остаточних корисних навантажень, Rungan та Gamshen, все з одного сервера: 868ID[.]com
За оцінками ESET, інструменти ескалації привілеїв ґрунтуються на публічних експлуатаціях EFSpotato та Badpotato-ці інструменти ескалації картопляних сімей є популярними серед китайськомовних хакерів-і зазначають, що деякі зразки були справедливо підписані за допомогою сертифіката з підписом коду, виданої технологією Trustasia RSA CA G3, Shenzhen Diyuan Technology.
Ці інструменти створюють або змінюють обліковий запис користувача на компрометованому сервері та додають його до групи адміністраторів, що забезпечує зловмисники, які можуть продовжувати виконувати привілейовані операції на зараженій машині.
Також серед цих інструментів: Comdai, ще одна спеціальна бібліотека, яка виконує купу можливостей, подібних до Backdoor, включаючи мережеву комунікацію, створення адміністратора, виконання файлів, список каталогів та маніпулювання послугами та клавішами реєстру Windows.
Під час цих нападів ESET також задокументував ще один спеціальний колекціонер інформації та Droper, яку команда використовувала на ім'я Зунпут. Він перевіряє наявність активних веб -сайтів, здатних виконувати динамічний вміст, і збирає інформацію про них, включаючи фізичний шлях на сервері, назву сайту, IP -адресу та ім'я хоста, перш ніж відпустити веб -апарат.
І нарешті, зловмисники скидають корисні навантаження Рунгана та Гамсен. Rungan виконує серію команд Backdoor на компрометованому сервері, тоді як Gamshen дозволяє шахрайство SEO-шахрайства. Ця конкретна операція, як видається, збільшує рейтинг сайтів азартних ігор, змінюючи відповіді лише на GoogleBot-приносячи користь сторонній сайт, який потенційно є клієнтом, що платить за ESET.
“Відповідь модифікована на основі даних, що вимагаються динамічно з сервера C&C Gamshen”, – написала Тавелла. “Роблячи це, Ghostredirector намагається маніпулювати рейтингом пошуку Google на конкретному сторонньому веб-сайті, використовуючи маніпулятивні, тінисті методи SEO, такі як створення штучних зворотних посилань з законного, компрометованого веб-сайту на цільовому веб-сайті”. ®