Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Un gruppo di criminali informatici, che i ricercatori di ESET hanno soprannominato GhostRedirector e collegato all’ecosistema cinese, ha silenziosamente implementato uno schema di manipolazione dei motori di ricerca globali basato su host Windows hackerati. Secondo la telemetria e le scansioni Internet di giugno, almeno 65 server in diversi paesi sono stati compromessi. Le prime infezioni confermate sono state registrate da dicembre, ma una serie di campioni correlati indica attività almeno da agosto 2024, quindi non si tratta di un’epidemia, ma di una campagna a lungo termine con ruoli e infrastrutture consolidati.
Al centro ci sono due componenti appositamente scritti. Rungan è una backdoor passiva scritta in C++ che, una volta attivata, accetta comandi su una macchina compromessa e funge da meccanismo di amministrazione remota silenzioso. Gamshen è un trojan per Internet Information Services che modifica le risposte del server web in modo che Googlebot non veda le pagine originali, ma versioni modificate utili per i domini di gioco d’azzardo di terze parti.
A livello di motore di ricerca, sembra che i siti legittimi linkino massicciamente a risorse promosse e gli algoritmi di ranking interpretano questi link artificiali come raccomandazioni. Di conseguenza, le posizioni dei siti di gioco d’azzardo aumentano e i proprietari di host hackerati non sospettano nemmeno che i loro siti stiano alimentando lo schema SEO di qualcun altro .
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
La geografia dell’attacco mostra una chiara prevalenza nei paesi del Sud America e dell’Asia meridionale. Il maggior numero di computer infetti è stato rilevato in Brasile, Perù, Thailandia, Vietnam e Stati Uniti, e gli aggressori non si sono limitati a un singolo settore. Sono stati colpiti istituti scolastici, organizzazioni mediche, compagnie assicurative, aziende di trasporti, aziende tecnologiche e del commercio al dettaglio. Tale distribuzione suggerisce che la selezione delle vittime non sia stata determinata dal profilo dell’azienda, ma da segnali tecnici di vulnerabilità e dalla facilità di successiva operatività.
Secondo gli analisti, il punto di ingresso iniziale è associato a specifiche vulnerabilità di SQL injection. Dopo aver compromesso l’applicazione web, gli aggressori hanno proceduto alla fase di espansione dell’accesso e hanno distribuito una catena di loader e strumenti sul server. Gli script di controllo in PowerShell hanno estratto tutti i componenti necessari dallo stesso nodo 868id[.]com, semplificando la logistica dell’attacco e consentendo una rapida sostituzione delle versioni del payload.
Per uscire dal contesto del processo web e raggiungere il livello di amministratore, sono state utilizzate utility basate su exploit pubblici della famiglia Potato, in particolare sulle idee di EfsPotato e BadPotato, ampiamente utilizzate nel segmento criminale di lingua cinese. Alcuni dei campioni presentavano una firma digitale corretta: il certificato è stato rilasciato dal centro TrustAsia RSA Code Signing CA G3 alla società Shenzhen Diyuan Technology. La presenza di una firma valida aumenta l’affidabilità dei meccanismi di protezione nei file eseguibili e ne facilita l’avvio. Dopo aver completato con successo l’escalation dei privilegi , il lavoro è stato completato creando o modificando un account locale con inclusione nel gruppo degli amministratori, il che ha garantito la stabilità del controllo e la possibilità di eseguire operazioni sensibili senza ripetuti attacchi informatici.
Oltre alle backdoor finali, i ricercatori descrivono due moduli ausiliari che forniscono ricognizione e controllo. La libreria Comdai assume una serie di funzioni a livello di backdoor: stabilisce l’interazione di rete con la parte di controllo, crea account con diritti amministrativi, esegue file, ottiene elenchi di directory, interferisce con il funzionamento dei servizi e modifica le chiavi del registro di Windows. Un componente separato, Zunput, è responsabile dell’inventario dei siti web in grado di eseguire contenuti dinamici. Controlla l’attività delle raccolte siti, ne raccoglie i parametri (il percorso fisico alla radice web, il nome del sito, l’indirizzo IP, il nome host) e quindi lascia una web shell sul server per ulteriori operazioni.
La fase finale della catena è l’implementazione di una coppia di Rungan e Gamshen. Il primo esegue una serie di comandi su un nodo hackerato e supporta l’attività operativa remota senza rumore nei log, il secondo trasforma una risorsa legittima in una guarnizione invisibile per la manipolazione delle ricerche. Il trucco chiave di Gamshen è la sostituzione selettiva della risposta solo per Googlebot, e gli inserimenti vengono formati dinamicamente in base ai dati provenienti dal server di controllo C2. In questo modo vengono creati backlink artificiali da domini attendibili alle pagine desiderate, che li spostano nelle prime righe per le query di destinazione. A giudicare dalla descrizione della meccanica, un progetto di terze parti ne trae vantaggio, il che è molto probabile che paghi per il servizio di cheating, e GhostRedirector agisce come un appaltatore tecnico con il proprio arsenale e un proprio set di accessi.
Il quadro emerso da questa operazione mostra quanto strettamente si intersechino oggi le pratiche SEO criminali e l’hacking tradizionale dei server. Da un lato, lo sfruttamento mirato di vulnerabilità, l’escalation dei privilegi, l’entrenchment e i moduli di controllo; dall’altro, un attento lavoro su contenuti e traffico, basato sui segnali comportamentali dei motori di ricerca. Nel complesso, ciò consente in un breve lasso di tempo di creare una rete di link di supporto provenienti da risorse altrui e di aumentare la visibilità dei siti promossi, senza lasciare praticamente tracce visibili per i proprietari dei siti compromessi.
Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Solo un anno fa, i medici non potevano dire con certezza se KJ Muldoon sarebbe sopravvissuto al suo primo anno di vita. Oggi sta muovendo i primi passi a casa, con la sua famiglia al suo fianco. Quest...
Una nuova vulnerabilità nei componenti FreeBSD responsabili della configurazione IPv6 consente l’esecuzione remota di codice arbitrario su un dispositivo situato sulla stessa rete locale dell’agg...
Dopo aver approfondito i delicati equilibri che vincolano gli operatori di Cyber Threat Intelligence(CTI) tra il GDPR e il rischio di Ricettazione, è fondamentale rivolgere l’attenzione a chiunque,...
Il mondo della tecnologia è un vero e proprio campo di battaglia, dove i geni del coding sfidano ogni giorno i malintenzionati a colpi di exploit e patch di sicurezza. Ecco perché la recente scopert...
Questa notizia ci arriva dal feed News & Research di Recorded Future (Insikt Group): Check Point Research ha documentato una nuova ondata di attività attribuita al threat actor China-linked Ink D...
