Новая хакерская группа, получившая название GhostRedirector, скомпрометировала как минимум 65 серверов под управлением Windows по всему миру. Основная цель группы — предоставление услуг по SEO-мошенничеству. Для этого используется специально разработанный модуль для служб IIS под названием Gamshen, который манипулирует результатами поисковой выдачи для повышения рейтинга сторонних веб-сайтов, предположительно, специализирующихся на азартных играх.
География атак охватывает в первую очередь Бразилию, Таиланд и Вьетнам. Также жертвы были зафиксированы в Перу, США, Канаде, Финляндии, Индии, Нидерландах, на Филиппинах и в Сингапуре. Действия злоумышленников носят неизбирательный характер, затрагивая различные отрасли, включая образование, здравоохранение, страхование, транспорт, технологии и розничную торговлю.
Для сохранения долгосрочного доступа к скомпрометированным системам GhostRedirector развертывает пассивный бэкдор Rungan, написанный на C++. Он ожидает и выполняет команды, поступающие по определённому шаблону URL:
Основным инструментом для SEO-мошенничества является модуль Gamshen. Этот компонент, написанный на C/C++, относится к семейству вредоносных программ для IIS "Group 13". Его задача — перехватывать HTTP-запросы, поступающие на взломанный сервер исключительно от поискового робота Googlebot. Для обычных посетителей сайт работает в штатном режиме, однако для Googlebot модуль изменяет HTTP-ответ сервера, создавая искусственные обратные ссылки. Эта техника схожа с действием вредоноса IISerpent, задокументированного словацкой компанией ESET в августе 2021 года.
Первоначальный доступ к серверам, предположительно, осуществляется через эксплуатацию уязвимости типа SQL-инъекции. Аналитики зафиксировали несанкционированные запуски PowerShell из процесса
Арсенал группы также включает несколько вспомогательных утилит. Для повышения привилегий до уровня группы администраторов используются инструменты BadPotato и EfsPotato. Утилита Zunput применяется для сбора информации о веб-сайтах, размещенных на сервере IIS, и для установки веб-шеллов на ASP, PHP и JavaScript. Для организации удаленного доступа через веб-браузер развертывается инструмент GoToHTTP.
Специалисты ESET, включая исследователя Фернандо Тавеллу, с уверенностью средней степени связывают GhostRedirector с китайскими субъектами. В основе этой атрибуции лежат три ключевых факта. Во-первых, в исходном коде инструментов были обнаружены жестко закодированные строки на китайском языке. Во-вторых, сертификат, использованный для подписи утилит BadPotato/EfsPotato, был выдан китайской компании Shenzhen Diyuan Technology Co., Ltd. В-третьих, на одном из взломанных серверов для созданной учетной записи использовался пароль "huang" — распространенная китайская фамилия.
Группа GhostRedirector, активная как минимум с августа 2024 года, не является первой китайской группировкой, использующей подобные методы. Ранее компании Cisco Talos и Trend Micro сообщали о деятельности группы DragonRank, которая также занималась SEO-манипуляциями с помощью вредоносного ПО BadIIS. Конечной целью таких операций является продвижение сайтов заказчиков, которые платят за повышение своего рейтинга в поисковых системах.
Изображение носит иллюстративный характер
География атак охватывает в первую очередь Бразилию, Таиланд и Вьетнам. Также жертвы были зафиксированы в Перу, США, Канаде, Финляндии, Индии, Нидерландах, на Филиппинах и в Сингапуре. Действия злоумышленников носят неизбирательный характер, затрагивая различные отрасли, включая образование, здравоохранение, страхование, транспорт, технологии и розничную торговлю.
Для сохранения долгосрочного доступа к скомпрометированным системам GhostRedirector развертывает пассивный бэкдор Rungan, написанный на C++. Он ожидает и выполняет команды, поступающие по определённому шаблону URL:
https://+:80/v1.0/8888/sys.html. Бэкдор поддерживает команды для создания пользователей (mkuser), выполнения системных команд (cmd), добавления новых URL для прослушивания (addurl) и сбора информации о файлах, хотя последняя функция (listfolder) находится в незавершенном состоянии. Основным инструментом для SEO-мошенничества является модуль Gamshen. Этот компонент, написанный на C/C++, относится к семейству вредоносных программ для IIS "Group 13". Его задача — перехватывать HTTP-запросы, поступающие на взломанный сервер исключительно от поискового робота Googlebot. Для обычных посетителей сайт работает в штатном режиме, однако для Googlebot модуль изменяет HTTP-ответ сервера, создавая искусственные обратные ссылки. Эта техника схожа с действием вредоноса IISerpent, задокументированного словацкой компанией ESET в августе 2021 года.
Первоначальный доступ к серверам, предположительно, осуществляется через эксплуатацию уязвимости типа SQL-инъекции. Аналитики зафиксировали несанкционированные запуски PowerShell из процесса
sqlserver.exe, что указывает на возможное использование хранимой процедуры xp_cmdshell. После проникновения PowerShell используется для загрузки дополнительных инструментов с сервера 868id[.]com и создания мошеннических учетных записей для обеспечения постоянного присутствия. Арсенал группы также включает несколько вспомогательных утилит. Для повышения привилегий до уровня группы администраторов используются инструменты BadPotato и EfsPotato. Утилита Zunput применяется для сбора информации о веб-сайтах, размещенных на сервере IIS, и для установки веб-шеллов на ASP, PHP и JavaScript. Для организации удаленного доступа через веб-браузер развертывается инструмент GoToHTTP.
Специалисты ESET, включая исследователя Фернандо Тавеллу, с уверенностью средней степени связывают GhostRedirector с китайскими субъектами. В основе этой атрибуции лежат три ключевых факта. Во-первых, в исходном коде инструментов были обнаружены жестко закодированные строки на китайском языке. Во-вторых, сертификат, использованный для подписи утилит BadPotato/EfsPotato, был выдан китайской компании Shenzhen Diyuan Technology Co., Ltd. В-третьих, на одном из взломанных серверов для созданной учетной записи использовался пароль "huang" — распространенная китайская фамилия.
Группа GhostRedirector, активная как минимум с августа 2024 года, не является первой китайской группировкой, использующей подобные методы. Ранее компании Cisco Talos и Trend Micro сообщали о деятельности группы DragonRank, которая также занималась SEO-манипуляциями с помощью вредоносного ПО BadIIS. Конечной целью таких операций является продвижение сайтов заказчиков, которые платят за повышение своего рейтинга в поисковых системах.
