Nowy aktor zagrożenia, nazwany „Ghostredirector”, prowadzi wyrafinowaną kampanię manipulacji optymalizacyjną wyszukiwarek (SEO), której celem jest sztuczne zwiększenie rankingów wyszukiwania stron internetowych hazardowych. Badacze ESET uważają, że grupa prawdopodobnie ma siedzibę w Chinach. Operacja, która rozpoczęła się około sierpnia 2024 r., Obejmuje kompromis witryn działających na serwerach Windows Web i wdrażanie narzędzi złośliwego oprogramowania w celu eskalacji uprawnień, utrzymywania trwałości i manipulowania indeksującymi indeksującymi witryną Google. Dotyczy to dziesiątek stron internetowych, głównie w Brazylii, Wietnamie i Tajlandii. Niewielka liczba zagrożonych witryn ma siedzibę w Stanach Zjednoczonych, ale wydaje się, że należą do firm z podstawowymi operacjami w krajach docelowych. Analiza ESET ujawniła, że ofiary obejmują szeroki zakres sektorów, w tym opiekę zdrowotną, edukację, transport, ubezpieczenie, detaliczne i technologiczne, sugerujące, że celowanie nie jest specyficzne dla sektora. Łańcuch ataku rozpoczyna się od zdobycia początkowego dostępu do serwerów Windows Windows, prawdopodobnie poprzez wykorzystywanie niepopatlonych luk wtrysku SQL. W środku aktor zagrożenia używa PowerShell do pobrania pakietu narzędzi złośliwego oprogramowania, w tym dwóch wcześniej niewidzialnych komponentów, które ESET śledzi jako Rungan i Gamshen. Eskalacja przywileju osiąga się przy użyciu dwóch znanych exploitów, EFSpotato i Badpotato. Rungan to pasywna backdoor napisana w C ++, która zapewnia atakującym zdalny dostęp do zagrożonych serwerów internetowych i pozwala im wykonywać dowolne polecenia. Gamshen jest natywnym komponentem usług informacyjnych internetowych (IIS) o złośliwych możliwościach. IIS to oprogramowanie Microsoft Web Server, które zasila wiele witryn opartych na systemie Windows. Zawiera modułową architekturę, z której programiści mogą użyć do rozszerzenia lub dodawania własnych funkcji serwera WWW. Po zainstalowaniu natywny komponent IIS działa na poziomie serwera z wysokimi uprawnieniami, co utrudnia wykrycie i usunięcie. Główną funkcją Gamshen jest potajemne wstrzyknięcie linków do stron internetowych, które Ghostredirector chce promować. Gdy Google GoogleBot odwiedza zagrożoną witrynę, aby ją indeksować, Gamshen wykrywa szarżę i wstrzykuje linki wskazujące do docelowej witryny w treści strony. Stwarza to linki zwrotne z legalnych, ale zagrożonych stron internetowych, sztucznie zwiększając rankingi wyszukiwania ukierunkowanych stron internetowych hazardowych. ESET opisał złośliwe rozszerzenia IIS, takie jak Gamshen jako narzędzia „przechwytujące żądania HTTP przychodzące do zagrożonego serwera IIS i wpływają na to, jak serwer reaguje na (niektóre) te żądania”. Microsoft potwierdził również zagrożenie, jakie stanowi złośliwe przedłużenia IIS, ostrzegając, że przeciwnicy mogą je wykorzystać do ustanowienia trwałych backdoors na krytyczne serwery internetowe. Splunk wydał w lipcu ostrzeżenie o podmiotach zagrożeń łączących wyczyny dla wielu kluczowych luk w SharePoint ze złośliwymi modułami IIS, aby osiągnąć głęboką trwałość w systemach wrażliwych. Według Microsoft, backdoors IIS są trudne do wykrycia, ponieważ „przeważnie znajdują się w tych samych katalogach, co uzasadnione moduły używane przez aplikacje docelowe i stosują tę samą strukturę kodu, co czyste moduły”. Ghostredirector nie jest pierwszym chińskim aktorem zagrożonym, który stosuje techniki zatrucia SEO. Cisco Talos poinformował w zeszłym roku, że Dragonfly, inny chiński aktor, zastosował podobną technikę ze złośliwym oprogramowaniem o nazwie Badiis. ESET zaleca, aby organizacje korzystały z dedykowanych kont, silnych haseł i uwierzytelniania wieloskładnikowego dla administratorów serwerów IIS. Firma doradza również, że administratorzy zapewniają, że natywne moduły IIS mogą być instalowane wyłącznie z zaufanych źródeł i są podpisane przez zaufanego dostawcę.
Source: ESET znajduje kampanię Ghostredirector SEO skierowaną do witryn hazardowych
