Главная страница » Индикаторы компрометации
0
10 дней
Индикаторы компрометации

Китайская хакерская группа GhostRedirector атакует Windows-серверы для мошенничества с поисковой выдачей

APT

Исследователи ESET обнаружили новую группу киберпреступников, ориентированную на компрометацию серверов под управлением Windows с целью манипуляции результатами поиска Google. Группа, получившая название GhostRedirector, использовала ранее неизвестные инструменты - бэкдор на C++ и вредоносный модуль для IIS.

Описание

Согласно отчету, GhostRedirector скомпрометировала не менее 65 серверов по всему миру, в основном в Бразилии, Таиланде и Вьетнаме. Жертвами стали организации из различных секторов, включая здравоохранение, страхование, розничную торговлю, транспорт, технологии и образование.

Группа применяла два кастомных инструмента: пассивный бэкдор Rungan, написанный на C++ и способный выполнять команды на зараженном сервере, и вредоносный модуль Gamshen для Internet Information Services (IIS), предназначенный для SEO-мошенничества. Модуль Gamshen модифицирует ответы сервера только в том случае, если запрос поступает от поискового робота Googlebot, чтобы искусственно повысить позиции целевых веб-сайтов в поисковой выдаче. Обычные посетители сайта не видят изменений, однако репутация самого ресурса может пострадать из-за ассоциации с недобросовестными SEO-практиками.

Для получения первоначального доступа к серверам злоумышленники, вероятно, использовали уязвимость, такую как SQL-инъекция. Затем с помощью PowerShell или утилиты CertUtil загружали дополнительные инструменты с одного и того же промежуточного сервера - 868id[.]com. В арсенале GhostRedirector также присутствовали публичные эксплойты для повышения привилегий - EfsPotato и BadPotato, которые позволяли создавать привилегированных пользователей для сохранения доступа даже в случае удаления основных вредоносных компонентов.

Исследователи с средней степенью уверенности attributруют атаки группе, связанной с Китаем. В качестве доказательств приводятся китайские строки в коде, использование сертификата цифровой подписи, выданного китайской компании, и пароль, содержащий слово «huang» (желтый). При этом прямых связей с другими известными группами, например DragonRank, также занимающимися SEO-мошенничеством, обнаружено не было.

Модуль Gamshen интегрируется в конвейер обработки запросов IIS и активируется только при определенных условиях, таких как наличие в заголовках User-Agent строки Googlebot. Затем он связывается с управляющим сервером brproxy.868id[.]com, получает данные в base64 и подменяет контент, предназначенный для поискового робота. В случае недоступности сервера модуль перенаправляет запрос на другой домен - gobr.868id[.]com. Анализ связанных изображений указывает на то, что бенефициаром схемы, вероятно, является португалоязычный сайт, связанный с азартными играми.

Помимо этого, GhostRedirector использовала вспомогательные утилиты, такие как Zunput, для сбора информации о веб-сайтах и размещения веб-шеллов, а также библиотеку Comdai, предоставляющую функционал для управления пользователями, выполнения команд и сетевого взаимодействия.

Атаки демонстрируют растущую изощренность групп, сочетающих традиционные методы удаленного доступа с экономически мотивированными схемами, такими как манипуляция поисковой выдачей. Владельцам серверов на Windows рекомендуется проверить систему на наличие признаков компрометации, уделив особое внимание подозрительной активности, связанной с процессами sqlserver.exe, и неавторизованным исполнением PowerShell.

Индикаторы компрометации

IPv4

  • 103.251.112.11
  • 104.233.192.1
  • 104.233.210.229
  • 43.228.126.4

Domains

  • brproxy.868id.com
  • gobr.868id.com
  • q.822th.com
  • www.881vn.com
  • www.cs01.shop
  • xz.868id.com
  • xzs.868id.com

MD5

  • 1464ac925cd2a2f6ab778b98effa2d1f
  • 14baf56f8d4959a580099b78f14f7fb7
  • 1816bb94563214ba8dccfb5322c0bae7
  • 2befb84f769f5af983c0eef320fbc11d
  • 2d9dbe9fe59b15df7c00cfc4b176f398
  • 2dcec7f21da5ea1ef7964092d1ec46bf
  • 30ad9c9b89ac39337dab3ef9381ac419
  • 3ef67eb58173ea37a59efd08325f77be
  • 419541ecce4e15904c321cd18f6cc06d
  • 49b4a9f783466c1a83e90fc14a4629b0
  • 5b7706cdeed1cf09a89a5c2207337482
  • 72d9104c0e7e51ef5c6f3667f6ed77dd
  • 7df59493848b08c54c290bdba82496cf
  • 7f990c12ea9eda233af1d9b260d238ef
  • 8796dd5679ec78c87512ace9b56d9385
  • 8d28486c0f0333bf4c5179dcb28b99dc
  • 9bd5171a30724f88279e21c581b99543
  • aabbbc16511021fce7f91ecdb22a26a0
  • ab4322619ea2d8a3332efcf0a59acec9
  • cd4b675607eec343472b22e925d2d30a
  • e4190bde9ef4a3ffe0956815017fc62b
  • f7ad540d428cf5da96767a68a5ce09d6

SHA1

  • 049c343a9daaf3a93756562ed73375082192f5a8
  • 08ab5cc8618fa593d2df91900067db464dc72b3e
  • 0ee926e29874324e52de816b74b12069529bb556
  • 28140a5a29eba098bc6215ddac8e56eacbb29b69
  • 371818bdc20669df3ca44be758200872d583a3b8
  • 373bd3ced51e19e88876b80225eca65a5c01413f
  • 5a01981d3f31af47614e51e6c216bed70d921d60
  • 5cffc4b3b96256a45fb45056ae0a9dc76329c25a
  • 5d4d7c96a9e302053bdfaf2449f9a2ab3c806e63
  • 5dfc2d0858dd7e811cd19938b8c28468be494cb6
  • 677b3f9d780be184528de5967936693584d9769a
  • 6ebd7498fc3b744ced371c379ba537077dd97036
  • 871a4df66a8bac3e640b2d1c0afc075bb3761954
  • 87f354eaa1a6ed5ae51c4b1a1a801b6cf818dafc
  • 9dd282184ddfa796204c1d90a46caa117f46c8e1
  • a3a55e4c1373e8287e4e4d5d3350ac665e1411a7
  • a8ee056799bfeb709c08d0e41d9511ced5b1f19d
  • b017cee02d74c92b2c65517101dc72afa7d18f16
  • c4681f768622bd613cbf46b218cda06f87559825
  • e69e4e5822a81f68107b933b7653c487d055c51b
  • e6e4634ce5afda0688e73a2c21a2ecdabd5e155d
  • ee22ba5453ed577f8664ca390eb311d067e47786

SHA256

  • 0f618a4850bc265fec27154f7f25b6a58481060f8f655b315865dd726a258553
  • 1173680f816928314d7ed973b7d0fcdb4ea55a3895b301408b14368120ee36d2
  • 1e078b5c876c4e5070b19a314be3b7385a3e2fc6a427f2ffcc2a2340b7c2b52f
  • 2116457cec1d5b6cccfedae9180e1abfe3ad225b30b9aef297365901e7893920
  • 233be0923c2db96ec25c95ef972e049cbbdba65787771e9ffbbee35c3ab261da
  • 252fa8fe9270a88c10838177f2aacd8c6c4c6018963d448243cb02118d9fac9e
  • 290e82e2f20cd8c593df926f54e197bc3668a1c03fa2d2e0a9731ce593274384
  • 429418310d56109fd6d95f02ff5b29584b710a0a0797c0d1f326b166ab57bad4
  • 49f6bac9134f277a88ade53c5fc449386499a6da7311d823b4960dd67d500428
  • 49fe19836e4afa66070ffd26e3b99956ea35b7505029d697506ec1b54985f7f2
  • 662b0018efd3ebc42303ad7bb055d00de7d99cd5c3e26fc4c4ef1b35a4f659de
  • 7b044cc8fb49561b20cc33ef37517555a24d27989490901ab7cba9a24674a20f
  • 7ddfcdf2429fffcdd283da11fc554aef06e5087ed21cb806cffb9f9af82d227d
  • 84ed8c317e0db3bef294e3f9d0512427f735c9110f3b676a6564e00400341a84
  • 96e2f7e778370ec16bcce348100d1ed37f609c0ca34daffb325902c1aac24c1b
  • afe38600040c22120fa1f9c3cf5807f5700057cacc83f987ad10c0d638c63db9
  • b0c98b86e608f6ce8f28610ee188ebc8cc8e0ecc3e86a7ffc89894860e783aa0
  • b91822de3fcc8bd5a71ab2350f93c817480f1aa06e480101f4007e16e7644e13
  • cfb86ba3c8bde567798819397205dfec31caae5511b0c6bf98fecfacfe162d56
  • da1e9b7c3e903cca699e095855378534322e8db431368e5c5598c709dea1f744
  • f1594a5b8f382c8d10c6d194ff25a15bf6ab7e27d6d40bc9fe02970970a11939
  • f9d5d425e33538ecbed518897e0cccab842a031bc4d614937189af4216cdac3a
Комментарии: 0
Похожие записи
0
30.08.2024
Индикаторы компрометации

APT-C-60 APT IOCs

security
Исследователи ESET обнаружили уязвимость уязвимость выполнения кода в WPS Office для Windows (CVE-2024-7262) и установили, что она была использована группой APT-C-60, связанной с Южной Кореей, для атак на страны Восточной Азии.
0
09.10.2023
Индикаторы компрометации

Jacana Operation IOCs

security
Операция Jacana - это целенаправленная кибершпионская кампания, направленная против государственной организации из Гайаны. После первоначальной компрометации злоумышленники начали продвигаться по внутренней сети жертвы.