GhostRedirector nedir, hangi ülkeleri ve şirketleri hedef aldı? ESET’ten çarpıcı uyarı

Yeni Siber Tehdit Uyarısı

Siber güvenlik şirketi ESET, Haziran 2025’te gerçekleştirdiği taramalarda “GhostRedirector” adını verdiği yeni bir tehdit aktörünü ortaya çıkardı. Şirket, bu aktörün Brezilya, Tayland, Vietnam ve Amerika Birleşik Devletleri başta olmak üzere en az 65 Windows sunucusunu ele geçirdiğini bildirdi. Kanada, Finlandiya, Hindistan, Hollanda, Filipinler ve Singapur’daki sunucuların da hedef alındığı tespit edildi. ESET’e göre bu saldırıların arkasında Çin ile bağlantılı daha önce bilinmeyen bir siber grup olabilir.

Geniş Coğrafyada Çeşitli Sektörler Hedef

GhostRedirector’ın kurbanları yalnızca bir sektörde yoğunlaşmıyor. Sigorta, sağlık, perakende, ulaşım, teknoloji ve eğitim gibi birçok alandaki şirketlerin sunucuları saldırıya uğradı. Özellikle Amerika Birleşik Devletleri adresinde bulunan sunucuların, Brezilya, Tayland ve Vietnam’daki şirketlere kiralanmış olması dikkat çekiyor. Bu durum, grubun Latin Amerika ve Güneydoğu Asya’da daha aktif olduğuna işaret ediyor.

Rungan ve Gamshen ile SEO Dolandırıcılığı

ESET araştırmasına göre GhostRedirector, daha önce belgelenmemiş iki özel araç kullanıyor. Bunlardan ilki, “Rungan” adı verilen pasif bir C++ arka kapısı. Bu araç ele geçirilen sunucuda komut yürütme, dizin listeleme ve Windows servislerini manipüle etme gibi işlevler sunuyor. İkincisi ise “Gamshen” adındaki kötü amaçlı bir IIS modülü. Gamshen, Googlebot’tan gelen istekleri değiştirerek arama sonuçlarını manipüle ediyor ve çeşitli kumar web sitelerini yapay şekilde öne çıkarıyor. Böylece SEO dolandırıcılığı yapılırken, güvenliği ihlal edilmiş ana web sitesinin itibarının zedelenmesine yol açılıyor.

Uzun Süreli Erişim İçin Kalıcılık Teknikleri

ESET araştırmacısı Fernando Tavella, grubun ele geçirilen sunuculara sahte kullanıcı hesapları açarak ve birden fazla uzaktan erişim aracı yerleştirerek kalıcılık sağladığını belirtti. GhostRedirector, bilinen EfsPotato ve BadPotato gibi istismar araçlarının yanı sıra özel ayrıcalık yükseltme araçlarıyla da çalışıyor. Bu yöntem, saldırganların erişim kaybı yaşaması durumunda bile geri dönmesini kolaylaştırıyor.

Çocuğunuz ChatGPT ile Sohbet Ediyor mu?

İçeriği Görüntüle

Saldırı Yöntemi: SQL Enjeksiyonu Şüphesi

ESET telemetrisine göre GhostRedirector, muhtemelen bir güvenlik açığını – büyük olasılıkla SQL enjeksiyonu – kullanarak kurbanlarının sistemlerine ilk erişimi sağlıyor. Ardından arka kapılar, web shell’ler ve IIS Truva atları gibi çeşitli kötü amaçlı yazılımlar indiriliyor. Böylece ağ iletişimi, dosya yürütme ve kayıt defteri manipülasyonu gibi kapsamlı yetenekler devreye sokuluyor.