Siber güvenlik araştırmacıları, GhostRedirector grubunun çok sayıda sunucuyu hedef alarak geniş çaplı saldırılar düzenlediğini açıkladı. Kanada, Finlandiya, Hindistan, Hollanda, Filipinler ve Singapur da saldırıların etkilendiği ülkeler arasında yer aldı.
YENİ KÖTÜ AMAÇLI YAZILIMLAR: RUNGAN VE GAMSHEN
Grubun saldırılarında öne çıkan iki yeni araç dikkat çekiyor. C++ ile geliştirilen Rungan, ele geçirilen sunucularda komut çalıştırmaya olanak sağlayan bir arka kapı görevi görüyor. Gamshen ise Microsoft IIS sunucularına entegre edilen bir modül olarak, yalnızca Google botuna gönderilen cevapları manipüle ediyor.
Araştırmacılara göre bu yöntem, kullanıcıların doğrudan etkilenmesine yol açmasa da saldırıya uğrayan sitelerin arama motoru sıralamalarında manipülasyon yapılarak itibarı zedeleniyor.
SALDIRI YÖNTEMLERİ
GhostRedirector, ilk erişimi sağlamak için SQL enjeksiyonu gibi açıklardan faydalanıyor. Ardından PowerShell üzerinden yetki yükseltme gerçekleştirerek daha gelişmiş araçlarını yüklüyor. Grup ayrıca EfsPotato ve BadPotato gibi bilinen güvenlik açıklarını da istismar ediyor.
HEDEF ALINAN SEKTÖRLER
Eğitim, sağlık, sigorta, ulaşım, teknoloji ve perakende sektörlerinde faaliyet gösteren kurumların saldırılardan etkilendiği belirtildi. Coğrafi yoğunluk ise özellikle Latin Amerika ve Güneydoğu Asya ülkelerinde dikkat çekiyor.
NEDEN ÖNEMLİ?
Saldırılar, sahte sitelerin Google arama sonuçlarında üst sıralara çıkmasına yol açarak arama motoru manipülasyonunu tehlikeli bir boyuta taşıyor. Uzmanlar, gerekli önlemler alınmadığı takdirde bu yöntemlerin daha yaygın hale gelebileceği konusunda uyarıda bulunuyor.
