GhostRedirector, Rungan Arka Kapısı ve Gamshen IIS Modülüyle 65 Windows Sunucusunu Hedef Aldı

Anasayfa » GhostRedirector, Rungan Arka Kapısı ve Gamshen IIS Modülüyle 65 Windows Sunucusunu Hedef Aldı
Haberler, Siber Güvenlik, Tehdit Analizi
Ekim 7, 2025Ekim 25, 2025Tarafından Ai Administrator
0
GhostRedirector, Rungan Arka Kapısı ve Gamshen IIS Modülüyle 65 Windows Sunucusunu Hedef Aldı

Brezilya, Tayland ve Vietnam başta olmak üzere en az 65 Windows sunucusu, GhostRedirector adlı tehdit aktörü tarafından ele geçirildi. Slovak siber güvenlik firması ESET’in raporuna göre, saldırılar pasif bir C++ arka kapısı olan Rungan ve Gamshen kod adlı yerel bir IIS modülünün dağıtımıyla sonuçlandı. Tehdit aktörünün Ağustos 2024’ten beri aktif olduğu düşünülüyor.

Rungan ve Gamshen Modüllerinin İşlevleri

Rungan arka kapısı, ele geçirilen sunucuda komut çalıştırma yeteneğine sahip olup, belirli URL desenlerinden gelen istekleri işleyerek dört farklı komutu destekliyor: kullanıcı oluşturma, klasör listeleme, yeni URL ekleme ve komut çalıştırma. Gamshen ise C/C++ ile geliştirilmiş bir IIS kötü amaçlı yazılım modülü olup, SEO dolandırıcılığı amacıyla arama motoru sonuçlarını manipüle ediyor. Gamshen yalnızca Googlebot’tan gelen isteklere farklı yanıt vererek, web sitelerinin normal ziyaretçilerini etkilemiyor ancak gölgeli SEO teknikleriyle hedef sitelerin sıralamasını yükseltmeye çalışıyor.

Saldırı Yöntemi ve Kullanılan Araçlar

İlk erişim genellikle SQL enjeksiyonu açığının istismarıyla sağlanıyor. Ardından PowerShell aracılığıyla “868id[.]com” adresinde barındırılan ek araçlar sunucuya yükleniyor. Bu araçlar arasında GoToHTTP (uzaktan bağlantı), BadPotato ve EfsPotato (yönetici ayrıcalığı elde etmek için), Zunput (bilgi toplama ve web kabukları bırakma) yer alıyor. Rungan, xp_cmdshell saklı yordamını kullanan sqlserver.exe üzerinden yetkisiz PowerShell yürütmelerini tetikliyor.

Tehdit Aktörünün Kökeni ve Önceki Benzer Saldırılar

ESET, GhostRedirector’un kaynak kodundaki Çinli dizeler, Çinli Shenzhen Diyuan Technology Co., Ltd.’ye ait kod imzalama sertifikası ve “huang” şifresi nedeniyle orta düzeyde Çin bağlantılı bir tehdit aktörü olduğunu değerlendiriyor. Gamshen, Ağustos 2021’de belgelenen IISerpent adlı başka bir IIS kötü amaçlı yazılımına benzer şekilde çalışıyor. Microsoft, IIS uzantılarının gizli kalıcı arka kapılar oluşturabileceğini Temmuz 2022’de kabul etmişti.

Sonuç ve Etkileri

GhostRedirector, ele geçirilen web siteleri üzerinden manipülatif geri bağlantılar oluşturarak üçüncü taraf kumar sitelerinin Google arama sıralamasını yükseltmeyi hedefliyor. Bu faaliyet, ele geçirilen sunucuların itibarını zedeleyerek uzun vadeli kalıcılık ve operasyonel dayanıklılık sağlıyor. Hedefler arasında eğitim, sağlık, sigorta, ulaşım, teknoloji ve perakende sektörlerinden kurumlar yer alıyor ve saldırılar Peru, ABD, Kanada, Finlandiya, Hindistan, Hollanda, Filipinler ve Singapur gibi ülkelerde de gözlemleniyor.

, , , , , , ,