Eylül 8, 2025




ESET, GhostRedirector Tehdit Grubunu Ortaya Çıkardı: Windows Sunuculara Arka Kapı Saldırıları

Güvenlik/Koruma

Eylül 8, 2025 09:54

ESET, GhostRedirector Tehdit Grubunu Ortaya Çıkardı: Windows Sunuculara Arka Kapı Saldırıları

ESET, GhostRedirector adını verdiği yeni bir tehdit aktörünü keşfetti. Haziran 2025’te yapılan internet taramalarında en az 65 Windows sunucusunun ele geçirildiği belirlendi. ESET araştırmacıları, saldırıların Çin bağlantılı olabileceğini ve başta Brezilya, Tayland, Vietnam ve ABD olmak üzere birçok ülkeyi etkilediğini açıkladı.

Yeni Araçlar: Rungan ve Gamshen

GhostRedirector, daha önce belgelenmemiş iki özel araç kullanıyor:

  • Rungan: Pasif bir C++ arka kapısı. Ele geçirilen sunucularda komut yürütme, dosya yönetimi, hizmetler ve Windows kayıt defteri üzerinde değişiklik yapabilme yeteneğine sahip.

  • Gamshen: Kötü amaçlı bir IIS modülü. Google arama sonuçlarını manipüle ederek SEO dolandırıcılığı gerçekleştiriyor. Yalnızca Googlebot isteklerine sahte içerik sunarak kumar sitelerinin sıralamasını yükseltmeyi hedefliyor.

ESET araştırmacısı Fernando Tavella, Gamshen’in doğrudan kullanıcıları etkilemediğini ancak güvenliği ihlal edilen web sitelerinin itibarını ciddi şekilde zedeleyebileceğini belirtti.

Hedeflenen Bölgeler ve Sektörler

ESET telemetrisi, saldırıların Aralık 2024 – Nisan 2025 arasında gerçekleştiğini ve Haziran 2025’te daha fazla kurbanın ortaya çıkarıldığını gösteriyor. Kurbanların çoğu Latin Amerika ve Güneydoğu Asya’da bulunuyor.

Etkilenen sektörler arasında:

  • Sigorta

  • Sağlık

  • Perakende

  • Ulaşım

  • Teknoloji

  • Eğitim

ABD’de ele geçirilen sunucuların büyük kısmının aslında Brezilya, Tayland ve Vietnam’daki şirketlere kiralandığı da rapora yansıdı.

İlk Erişim ve Kalıcılık Yöntemleri

ESET’e göre GhostRedirector, büyük ihtimalle SQL enjeksiyonu üzerinden ilk erişim sağlıyor. Ardından şu adımları izliyor:

  • Ayrıcalık yükseltme araçları (EfsPotato, BadPotato) ile yönetici yetkisi elde etmek,

  • Webshell yüklemek,

  • Arka kapı ve IIS Truva atı kurmak,

  • Sahte kullanıcı hesapları oluşturarak uzun vadeli erişim sağlamak.

Bu yöntemlerle saldırganlar, ele geçirilen sunucuları hem SEO manipülasyonu hem de uzaktan erişim için kullanabiliyor.

ESET’in Uyarısı

ESET, tespit ettiği tüm mağdurları bilgilendirdi ve kuruluşlara şu uyarılarda bulundu:

  • Web uygulamalarındaki SQL enjeksiyonu açıklarını kapatın,

  • Windows sunucularınızı düzenli olarak güncelleyin,

  • IIS üzerinde olağan dışı modülleri tarayın,

  • Şüpheli kullanıcı hesaplarını kontrol edin.

İlgili Haberler

EN ÇOK OKUNANLAR

Copyright © 2024 Teknotalk