Un gruppo legato alla Cina sfrutta vulnerabilità e frodi SEO per prendere controllo di server aziendali e alterare i risultati di ricerca, colpendo in più Paesi.
Autore: Redazione SecurityOpenLab
La nuova minaccia scoperta dai ricercatori di ESET, battezzata GhostRedirector, è una sofisticata campagna cyber operata da un gruppo attivo almeno da agosto 2024, verosimilmente allineato con interessi cinesi. Il gruppo ha compromesso almeno 65 server Windows nel mondo, in prevalenza in Brasile, Thailandia, Vietnam e Stati Uniti. Gli esperti reputano che quelle registrate siano operazioni opportunistiche su target multipli che includono education, sanità, trasporti, tecnologia, assicurazioni e retail.
È interessante approfondire la conoscenza di GhostRedirector per l’uso di un arsenale inedito composto principalmente da una backdoor C++ denominata Rungan e da un modulo trojan per server IIS, chiamato Gamshen. La prima ha la funzione di eseguire comandi remoti sul server infetto, su cui ha un accesso silente grazie a una procedura di attivazione HTTP e all’uso di AES per cifrare le stringhe. Il secondo è un modulo che serve per manipolare le risposte HTTP destinate ai crawler di Google, alterando il ranking di siti web.
Nella campagna monitorata sono poi stati usati strumenti addizionali, fra cui utilities personalizzate per l’escalation dei privilegi (basate su exploit pubblici come EfsPotato, BadPotato) e installer di webshell che facilitano l’accesso remoto e permettono agli operatori di mantenere il controllo anche a fronte della rimozione dei tool principali. La persistenza è rinforzata dalla creazione di account utente fittizi che garantiscono agli attaccanti una via di accesso ‘di riserva’ al sistema violato.
Vediamo ora come vengono usati questi strumenti nell’attacco. L’accesso iniziale è favorito dallo sfruttamento di vulnerabilità, probabilmente con la tecnica dell’SQL Injection. Sqlserver.exe viene usato come vettore per eseguire comandi PowerShell sul server bersaglio. Attraverso questi comandi, gli attaccanti scaricano da un server remoto gli strumenti necessari per proseguire con l’attacco. Il download viene effettuato usando strumenti di Windows legittimi, come curl e CertUtil, in modo da evitare di essere bloccati dai sistemi di sicurezza. Tutti i payload vengono salvati in C:\ProgramData, mentre quelli più importanti finiscono nelle sotto-directory Microsoft\DRM\log.
Proseguendo, vengono scaricati ed eseguiti diversi tool tra cui i soprannominati Rungan e Gamshen, oltre a delle utility per la creazione di account amministrativi e webshell. L’obiettivo è modificare o creare un account utente locale dotato di diritti amministrativi, così da facilitare l’esecuzione di altri componenti e garantire un accesso persistente e privilegiato, a dispetto delle difese presenti nel sistema.
Nel toolkit figura la DLL multiuso Comdai, a cui fanno capo una serie di funzioni trasversali come l’enumerazione utenti, la creazione di credenziali, il riavvio di servizi, la manipolazione delle chiavi di registro e l’interazione con altri moduli del malware. A seconda dell’esigenza operativa, Comdai può supportare la comunicazione tra moduli, il passaggio tra vari livelli di privilegio o la gestione del canale di controllo remoto.
Gli analisti hanno inoltre intercettato implementazioni di webshell sofisticate, in grado di fornire accesso diretto agli attaccanti in PHP, ASP, JavaScript a seconda delle caratteristiche delle directory. Quest’attività è orchestrata da moduli come Zunput (SitePuts.exe), che identificano e valorizzano dinamicamente punti di ingresso, con archiviazione delle informazioni raccolte per necessità successive.
L’azione di GhostRedirector si rivolge principalmente contro target associati ai settori education, trasporti, insurance, sanità, tecnologie e retail e l’obiettivo è il danno reputazionale. La presenza di backdoor, webshell e account fittizi permette agli attaccanti la persistenza a lungo termine, che aumenta il rischio di movimenti laterali e di compromissione di intere infrastrutture.
Individuare GhostRedirector è molto difficile a causa della modularità delle backdoor, per le tecniche di persistenza attuate, per il code signing legittimo, per la distribuzione di webshell in percorsi dinamici e per l’offuscazione multilivello dei tool di escalation dei privilegi. Pertanto, la detection richiede monitoraggio di eventi anomali IIS, scansione delle directory log e controllo sulle creazioni/modifiche di account, task e servizi.
La mitigazione richiede la cancellazione delle vulnerabilità (patch di SQL injection e privilege escalation), il monitoraggio delle attività IIS e delle risorse log, l’analisi retrospettiva delle attività HTTP non convenzionali, e la revoca immediata delle credenziali amministrative non previste.