9 月 7 日消息,網絡安全公司 ESET 的安全研究人員于 9 月 4 日宣布發現了一個代號為 GhostRedirector 的新型黑客組織。
據稱,該組織自 2024 年 12 月起已入侵至少 65 臺位于巴西、泰國和越南的 Windows 服務器;該組織不僅長期維持后門訪問,還利用受害服務器操縱谷歌搜索排名。
從 ESET 獲悉,其攻擊始于 Windows 服務器的 SQL 注入漏洞,黑客通過下載惡意工具包展開滲透。入侵后,他們會部署被稱為“Rungan”的被動式 C++ 后門,該程序通過監聽特定 URL 模式下的 HTTP 請求實現遠程命令執行,避免創建外部連接,從而規避安全警報。
然后,黑客會在服務器中植入了專門針對谷歌爬蟲(Googlebot)的惡意 IIS 模塊,被稱為“Gamshen”。
當谷歌爬蟲爬到被攻陷的服務器網站時,Gamshen 會動態篡改頁面內容,將指令服務器的數據注入網頁,從而人為提升賭博網站的搜索排名。
同時,普通用戶訪問的時候則顯示正常頁面,其手法對普通用戶來說幾乎不可察覺。ESET 研究人員指出:“這相當于一種 SEO 欺詐即服務”。
研究人員還強調,該組織使用看似合法的域名和有效的代碼簽名證書來規避檢測。攻擊者使用偽裝域名和有效代碼簽名證書規避檢測。
GhostRedirector 展現出較高的行動隱蔽性和持久性。其維持訪問的手段包括提權漏洞(BadPotato、EfsPotato)、webshell 以及偽造管理員賬號等多層機制,確保即使主要后門被清除仍能持續控制系統。
該組織針對的領域覆蓋醫療、教育、零售、交通等多個行業,顯示出更傾向于機會性攻擊,而非特定行業定向打擊。
面對這一情況,專家建議及時更新服務器軟件、監控 SQL Server 進程中異常的 PowerShell 執行、強化 SQL 注入防御,以及定期審計 IIS 模塊和管理員賬戶。