مجموعة تهديد جديدة
كشف باحثو شركة ESET للأمن السيبراني عن نشاط مجموعة تهديد غير موثقة سابقًا تحمل اسم GhostRedirector، تمكنت من اختراق ما لا يقل عن 65 خادم Windows، معظمها في البرازيل وتايلاند وفيتنام. ويُعتقد أن المجموعة نشطة منذ أغسطس 2024.
أدوات الهجوم
أدت الهجمات إلى نشر برمجيتين أساسيتين:
-
Rungan: باب خلفي مكتوب بلغة C++ يمكنه تنفيذ أوامر على الخادم المصاب.
-
Gamshen: وحدة خبيثة مدمجة في IIS مصممة للتلاعب بنتائج محركات البحث وتقديم خدمة “SEO fraud as-a-service”.
آلية الهجوم
يحصل المهاجمون على الوصول الأولي عبر استغلال ثغرة، يُرجح أنها SQL Injection، ليتم بعد ذلك استخدام PowerShell لتنزيل أدوات إضافية من خادم وسيط. رُصد أن معظم هذه الأوامر نُفذت عبر ملف sqlserver.exe باستخدام الإجراء المخزن xp_cmdshell.
وظائف الباب الخلفي Rungan
يدعم Rungan أربعة أوامر رئيسية:
-
mkuser: إنشاء حساب مستخدم جديد ببيانات اعتماد محددة.
-
listfolder: جمع معلومات من مسار محدد (قيد التطوير).
-
addurl: تسجيل روابط جديدة يمكن للباب الخلفي مراقبتها.
-
cmd: تنفيذ أوامر عبر واجهة CreateProcessA API.
وحدة Gamshen والـ SEO الخبيث
تمثل Gamshen جزءًا من عائلة برمجيات IIS الخبيثة المسماة Group 13، وتعمل مثل برمجية IISerpent التي وثقتها ESET سابقًا.
تقوم هذه الوحدة بالتلاعب في استجابات الخادم فقط عند تلقي طلب من Googlebot، ما يسمح بإنشاء روابط خلفية زائفة لتحسين ترتيب مواقع مستهدفة (غالبًا مواقع قمار) في نتائج البحث. ورغم أن الزوار العاديين لا يتأثرون مباشرة، إلا أن هذا يضر بسمعة المواقع المستضافة على الخوادم المصابة.
أدوات إضافية
إلى جانب Rungan وGamshen، نشرت المجموعة أدوات أخرى مثل:
-
GoToHTTP: لإنشاء اتصال عن بعد عبر المتصفح.
-
BadPotato / EfsPotato: لرفع الامتيازات وإنشاء مستخدمين إداريين.
-
Zunput: لجمع بيانات عن المواقع المستضافة وزرع Web Shells بلغات ASP وPHP وJavaScript.
دلائل على ارتباط بالصين
تشير الأدلة إلى أن المجموعة مرتبطة بالصين، حيث عُثر على سلاسل نصية صينية في الشيفرة المصدرية، وشهادات توقيع برمجية صادرة لشركة Shenzhen Diyuan Technology Co., Ltd.، إضافة إلى استخدام كلمة مرور “huang” لحسابات أنشأها المهاجمون.
مقارنة مع DragonRank
ليست هذه المرة الأولى التي يُستخدم فيها IIS malware من قبل جهات صينية. فقد وثقت Cisco Talos وTrend Micro سابقًا نشاط مجموعة DragonRank التي استخدمت برمجية BadIIS لنفس الغرض، أي التلاعب بنتائج البحث.
