GhostRedirect 黑客使用恶意 IIS 模块破坏 Windows 服务器以纵搜索结果

一个新发现的黑客组织被网络安全研究人员称为“GhostRedirector”，它已经破坏了全球至少 65 台 Windows 服务器，部署了旨在纵搜索引擎结果以获取经济利益的自定义恶意软件。

根据 ESET 的一份新报告，威胁行为者利用 Microsoft 互联网信息服务 （IIS） 的恶意模块来实施复杂的 SEO 欺诈计划，主要使赌博网站受益。

这些攻击至少自 2024 年 8 月以来一直活跃，使用了两种以前未记录的自定义工具：名为“Rungan”的被动 C++ 后门和名为“Gamshen”的恶意原生 IIS 模块。

虽然 Rungan 为攻击者提供了在受感染的服务器上执行命令的能力，但 Gamshen 是该作的核心，旨在提供“SEO 欺诈即服务”。

GhostRedirect 破解 Windows 服务器

研究人员解释说，Gamshen 通过拦截受感染服务器上的网络流量来发挥作用。该模块专门配置为仅在检测到来自 Google 网络爬虫 Googlebot 的请求时才激活。

对于普通访问者，网站运行正常。但是，当 Googlebot 扫描网站时，Gamshen 会修改服务器的响应，从自己的命令和控制服务器注入数据。

这种技术允许攻击者创建人工反向链接并使用其他纵性 SEO 策略，有效地劫持受感染网站的声誉以提高目标网站的页面排名。

ESET认为，该计划的主要受益者是针对葡语用户的各种赌博网站。ESET 研究人员以中等置信度将该活动归因于一个以前未知的、与中国结盟的威胁行为者。

该评估基于多种因素，包括使用颁发给中国公司的代码签名证书、恶意软件样本中的硬编码中文字符串以及包含用于流氓用户帐户的中文单词“黄”（黄色）的密码。

受害者学表明了一种机会主义方法，而不是针对特定行业的有针对性的运动。

受感染的服务器涵盖医疗保健、零售、交通、教育和技术等行业，其中大部分位于巴西、泰国和越南。

在美国、秘鲁、加拿大以及欧洲和亚洲部分地区发现了更多受害者。

GhostRedirect 的攻击链始于据信是初始访问的 SQL 注入漏洞。进入后，攻击者使用 PowerShell 或 CertUtil 从暂存服务器下载他们的武器库。

为了获得完全控制权，他们使用公开已知的权限升级漏洞（如“EfsPotato”和“BadPotato”）在服务器上创建新的管理员级用户帐户。

这些流氓帐户提供持久访问，确保攻击者即使其主要后门被发现并删除也能保持控制。

该组织的工具包还包括其他自定义实用程序，例如“Zunput”，这是一种扫描服务器以查找活动网站并删除多个 Web shell 以提供替代远程访问方法的工具。

这些工具之间的共享代码库和基础结构允许 ESET 对活动进行聚类并将其归因于单个组。

虽然对网站访问者的直接影响很小，但参与 SEO 欺诈计划可能会将其与黑帽 SEO 策略联系起来，从而严重损害受感染主机的声誉。