Emerge un nuovo attore di minaccia allineato con la Cina: GhostRedirector
Un nuovo pericolo informatico è stato portato alla luce, con un gruppo di hacker denominato GhostRedirector che ha compromesso almeno 65 server Windows in tutto il mondo. Questo gruppo, molto probabilmente legato alla Cina, ha utilizzato moduli IIS dannosi per manipolare i risultati dei motori di ricerca e indirizzare il traffico verso siti web poco affidabili.
Le tattiche del gruppo sono simili a quelle di un altro gruppo allineato con la Cina, DragonRank, precedentemente collegato alla frode SEO. Due strumenti precedentemente sconosciuti sono stati identificati nell'arsenale di GhostRedirector: Rungan e Gamshen. Rungan è un backdoor C++ che consente agli attaccanti di eseguire comandi sui server compromessi, mentre Gamshen manipola i risultati dei motori di ricerca per gonfiare artificialmente i ranking di determinati siti web, in particolare piattaforme di gioco d'azzardo.
La maggior parte dei server compromessi si trova in Brasile, Thailandia e Vietnam. Tuttavia, gli attacchi non si sono limitati a un solo settore e le vittime sono state osservate in settori come la sanità, l'assicurazione, il commercio al dettaglio, i trasporti, la tecnologia e l'istruzione. Gli attacchi hanno sollevato preoccupazioni riguardo all'erosione della fiducia nelle organizzazioni compromesse.
Per difendersi da minacce simili, gli esperti di sicurezza consigliano alle organizzazioni di monitorare i server IIS per i moduli insoliti, applicare gli aggiornamenti di sicurezza tempestivi, limitare l'uso dei conti ad alto privilegio e rivedere l'attività di PowerShell per i download sospetti. Le revisioni regolari delle configurazioni del server e dei conti utente possono anche aiutare a rilevare la persistenza dannosa prima che causi danni a lungo termine.
GhostRedirector sfrutta exploits noti come BadPotato e EfsPotato per acquisire privilegi di amministratore. Una volta integrato nel software del server web di Microsoft, gli attaccanti non solo ottengono la persistenza, ma utilizzano anche piattaforme legittime per indirizzare il traffico verso siti web poco affidabili. Questa attività è in corso almeno dal agosto 2024.
Vari indicatori sostengono questa attribuzione. Questi includono stringhe cinesi hardcoded, un certificato di firma del codice legato a una società cinese e una password contenente la parola mandarina "huang" - cinese per giallo. Anche se c'è qualche sovrapposizione nella geografia e nei settori target, ESET ha sottolineato che non ci sono prove che i due gruppi siano collegati.
I ricercatori di ESET hanno avvertito che campagne del genere possono erodere la fiducia nelle organizzazioni compromesse. Hanno esortato tutte le parti interessate a prendere immediate azioni per garantire i loro sistemi e proteggere gli utenti. Poiché il panorama delle minacce continua ad evolversi, è più importante che mai per le organizzazioni restare vigili e proactive nelle misure di sicurezza informatica.
