Los investigadores de ciberseguridad han levantado la tapa en un clúster de amenazas previamente indocumentado denominado Ghostredirector que ha logrado comprometer al menos 65 servidores de Windows principalmente ubicados en Brasil, Tailandia y Vietnam. Los ataques, según la empresa de ciberseguridad eslovaca ESET, llevaron a la implementación de una puerta trasera pasiva C ++ llamada Rungan y un módulo nativo de Información de Internet (IIS) con nombre en código Gamshen. Se cree que el actor de amenaza está activo desde al menos agosto de 2024 «. Si bien Rungan tiene la capacidad de ejecutar comandos en un servidor comprometido, el propósito de GAMSHEN es proporcionar fraude de SEO como servicio, es decir, para manipular los resultados del motor de búsqueda, lo que aumenta la clasificación de la página de un sitio web de destino configurado», dijo el investigador de ESET Fernando Tavella en un informe compartido con las noticias del hacker. «Aunque Gamshen solo modifica la respuesta cuando la solicitud proviene de GoogleBot, es decir, no sirve contenido malicioso o de otra manera afecta a los visitantes regulares de los sitios web, la participación en el esquema de fraude SEO puede dañar la reputación del sitio web de host comprometido al asociarlo con las técnicas sombreadas de SEO y los sitios web impulsados». Algunos de los otros objetivos del grupo de piratería incluyen Perú, Estados Unidos, Canadá, Finlandia, India, Países Bajos, Filipinas y Singapur. También se dice que la actividad es indiscriminada, con entidades de educación, atención médica, seguro, transporte, tecnología y sectores minoristas destacados. El acceso inicial a las redes de destino se logra explotando una vulnerabilidad, probablemente un defecto de inyección SQL, después de lo cual PowerShell se utiliza para entregar herramientas adicionales alojadas en un servidor de puesta en escena («868ID[.]com»). «This conjecture is supported by our observation that most unauthorized PowerShell executions originated from the binary sqlserver.exe, which holds a stored procedure xp_cmdshell that can be used to execute commands on a machine,» ESET said. Rungan is designed to await incoming requests from a URL matching a predefined pattern (ie, «https: //+: 80/v1.0/8888/sys.html»), y luego procede a analizar y ejecutar los comandos incrustados en ellos. run a command on the server using pipes and the CreateProcessA API Written in C/C++, Gamshen is an example of an IIS malware family called «Group 13,» which can act both as a backdoor and conduct SEO fraud. It functions similar to IISerpent, another IIS-specific malware that was documented by ESET back in August 2021. IISerpent, configured as a malicious extension for Microsoft’s web server software, le permite interceptar todas las solicitudes HTTP realizadas en los sitios web alojados por el servidor comprometido, específicamente aquellos que se originan en los rastreadores de motores de búsqueda, y cambiar las respuestas HTTP del servidor con el objetivo de redirigir los motores de búsqueda a un sitio web de estafa de la elección del atacante que elección de los atacantes de regreso. «Es más difícil detectar ya que residen principalmente en los mismos directorios que los módulos legítimos utilizados por las aplicaciones objetivo, y siguen la misma estructura de código que los módulos limpios». Donde estos vínculos de retroceso redirigen a los usuarios desprevenidos, pero se cree que el esquema de fraude SEO se está utilizando para promover varios sitios web de juegos de azar. ASP, PHP, and JavaScript web shells It’s assessed with medium confidence that GhostRedirector is a China-aligned threat actor based on the presence of hard-coded Chinese strings in the source code, a code-signing certificate issued to a Chinese company, Shenzhen Diyuan Technology Co., Ltd., to sign the privilege escalation artifacts, and the use of the password «huang» for one of the Los usuarios creados por Ghostredirector en el servidor comprometido. Servidor comprometido para promocionar un sitio web de juego de terceros, potencialmente un cliente que paga que participe en un esquema de servicio de fraude de SEO como un servicio «, dijo la compañía.» Ghostredirector también demuestra persistencia y una reiliencia operativa mediante la implementación de múltiples herramientas de acceso remoto en el servidor comprometido.