GhostRedirector: Neue Bedrohung für Windows-Server entdeckt

BRASILIEN / THAILAND / VIETNAM / LONDON (IT BOLTWISE) – Eine neue Bedrohung namens GhostRedirector hat mindestens 65 Windows-Server in verschiedenen Ländern kompromittiert. Diese Angriffe nutzen eine C++-Hintertür namens Rungan und ein IIS-Modul namens Gamshen, um SEO-Betrug zu betreiben und die Suchergebnisse zu manipulieren. Die Angriffe begannen vermutlich im August 2024 und betreffen verschiedene Branchen weltweit.

Eine bisher unbekannte Bedrohung namens GhostRedirector hat es geschafft, mindestens 65 Windows-Server in Ländern wie Brasilien, Thailand und Vietnam zu kompromittieren. Diese Angriffe, die von der slowakischen Cybersicherheitsfirma ESET entdeckt wurden, führten zur Installation einer passiven C++-Hintertür namens Rungan und eines nativen Internet Information Services (IIS)-Moduls mit dem Codenamen Gamshen. Die Bedrohungsakteure sind vermutlich seit mindestens August 2024 aktiv.

Rungan ermöglicht es den Angreifern, Befehle auf einem kompromittierten Server auszuführen, während Gamshen für SEO-Betrug eingesetzt wird, um die Suchergebnisse zu manipulieren und das Seitenranking einer konfigurierten Zielwebsite zu erhöhen. Obwohl Gamshen die Antwort nur ändert, wenn die Anfrage von Googlebot kommt, kann die Teilnahme an einem solchen SEO-Betrugsschema dem Ruf der kompromittierten Host-Website schaden, indem sie mit fragwürdigen SEO-Techniken in Verbindung gebracht wird.

Zu den weiteren Zielen der Hackergruppe gehören Länder wie Peru, die USA, Kanada, Finnland, Indien, die Niederlande, die Philippinen und Singapur. Die Aktivitäten sind wahllos und betreffen Unternehmen aus den Bereichen Bildung, Gesundheitswesen, Versicherungen, Transport, Technologie und Einzelhandel. Der erste Zugriff auf die Zielnetzwerke erfolgt wahrscheinlich durch Ausnutzung einer Schwachstelle, vermutlich einer SQL-Injection-Schwachstelle, nach der PowerShell verwendet wird, um zusätzliche Werkzeuge von einem Staging-Server bereitzustellen.

Rungan ist so konzipiert, dass es auf eingehende Anfragen von einer URL wartet, die einem vordefinierten Muster entspricht, und dann die darin eingebetteten Befehle analysiert und ausführt. Es unterstützt vier verschiedene Befehle: mkuser, um einen Benutzer auf dem Server zu erstellen, listfolder, um Informationen von einem angegebenen Pfad zu sammeln, addurl, um neue URLs zu registrieren, die die Hintertür abhören kann, und cmd, um einen Befehl auf dem Server auszuführen.

Gamshen, geschrieben in C/C++, ist ein Beispiel für eine IIS-Malware-Familie namens „Group 13“, die sowohl als Hintertür fungieren als auch SEO-Betrug betreiben kann. Es funktioniert ähnlich wie IISerpent, eine andere IIS-spezifische Malware, die von ESET bereits im August 2021 dokumentiert wurde. IISerpent, als bösartige Erweiterung für Microsofts Webserver-Software konfiguriert, ermöglicht es, alle HTTP-Anfragen an die von dem kompromittierten Server gehosteten Websites abzufangen und die HTTP-Antworten des Servers zu ändern, um die Suchmaschinen zu einer Betrugswebsite der Wahl des Angreifers umzuleiten.

GhostRedirector versucht, das Google-Suchranking einer bestimmten Drittanbieter-Website durch manipulative, fragwürdige SEO-Techniken wie das Erstellen künstlicher Backlinks von der legitimen, kompromittierten Website zur Zielwebsite zu manipulieren. Es ist derzeit nicht bekannt, wohin diese Backlinks ahnungslose Benutzer umleiten, aber es wird angenommen, dass das SEO-Betrugsschema verwendet wird, um verschiedene Glücksspiel-Websites zu fördern.

Zusätzlich zu Rungan und Gamshen werden verschiedene andere Werkzeuge eingesetzt, darunter GoToHTTP, um eine Fernverbindung herzustellen, die über einen Webbrowser zugänglich ist, BadPotato oder EfsPotato, um einen privilegierten Benutzer in der Administratorengruppe zu erstellen, und Zunput, um Informationen über auf dem IIS-Server gehostete Websites zu sammeln und ASP-, PHP- und JavaScript-Web-Shells abzulegen.

Mit mittlerer Sicherheit wird angenommen, dass GhostRedirector ein China-ausgerichteter Bedrohungsakteur ist, basierend auf der Präsenz von hartcodierten chinesischen Zeichenfolgen im Quellcode, einem Code-Signaturzertifikat, das an ein chinesisches Unternehmen, Shenzhen Diyuan Technology Co., Ltd., ausgestellt wurde, um die Privilegieneskalationsartefakte zu signieren, und der Verwendung des Passworts „huang“ für einen der von GhostRedirector erstellten Benutzer auf dem kompromittierten Server.

GhostRedirector ist nicht der erste China-verbundene Bedrohungsakteur, der bösartige IIS-Module für SEO-Betrug einsetzt. Im vergangenen Jahr haben sowohl Cisco Talos als auch Trend Micro eine chinesischsprachige Gruppe namens DragonRank beschrieben, die sich mit SEO-Manipulationen über BadIIS-Malware beschäftigt hat. Gamshen missbraucht die Glaubwürdigkeit der auf dem kompromittierten Server gehosteten Websites, um eine Drittanbieter-Glücksspiel-Website zu fördern – möglicherweise ein zahlender Kunde, der an einem SEO-Betrug-als-Dienstleistungsschema teilnimmt.

Bestseller Nr. 1 ᵃ⤻ᶻ «KI Gadgets»

Apple AirTag - Finde und behalte Deine Sachen im Blick: Schlüssel, Geldbörsen, Gepäck, Rucksäcke und mehr. Einfaches Einrichten mit iPhone oder iPad. Austauschbare Batterie

29,90 EUR

Bestseller Nr. 2 ᵃ⤻ᶻ «KI Gadgets»

Mobvoi TicNote KI Digitales Diktiergerät, 64 GB Speicher, Notizrekorder mit Hülle, App-Steuerung, über 100 Sprachen, Transkribieren, Zusammenfassen mit AI Shadow,digitaler Audiorekorder Sprachrekorder

169,99 EUR

Bestseller Nr. 3 ᵃ⤻ᶻ «KI Gadgets»

Plaud Note KI Digitales Diktiergerät mit Hülle - 64 GB Aufnahmegerät mit KI-Technologie zum Transkribieren und Zusammenfassen, One-Touch-Aufnahme, Rauschunterdrückung, Unterstützt 112 Sprachen

169,90 EUR

Bestseller Nr. 4 ᵃ⤻ᶻ «KI Gadgets»

KI-Sprachrekorder, Plaud NotePin Sprachrekorder, App-Steuerung, KI-Notizgerät, KI-Transkription & Zusammenfassung, 112 Sprachen, 64GB Speicher, Audiorekorder für Vorlesungen, Meetings, Kosmisches Grau

169,90 EUR

Bestseller Nr. 5 ᵃ⤻ᶻ «KI Gadgets»

SOXOI KI Digitales Diktiergerät, 64GB Magnet Mini Aufnahmegerä mit ChatGPT 4o vom Transkribieren und Zusammenfassen für 102 Sprachen,One Touch Aufnahme, Voice Recorder Sprachrecorder (Schwarz)

75,99 EUR

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!