Čínska skupina GhostRedirector prebrala kontrolu nad minimálne 65 servermi so systémom Windows, aby zvýšila pozície pochybných stránok hazardných hier vo vyhľadávači Google.
Použili dva nové nástroje – Rungan a Gamshen.
Útoky zasiahli servery najmä v Latinskej Amerike a Južnej Ázii, pravdepodobne prostredníctvom SQL injection, v rôznych odvetviach.
Desiatky serverov so systémom Windows boli ovládnuté čínskou hackerskou skupinou s cieľom zvýšiť hodnotenie pochybných stránok hazardných hier v Google, zistili odborníci.
Bezpečnostní výskumníci spoločnosti ESET identifikovali operáciu s názvom GhostRedirector, ktorá sa v decembri 2024 začala zameriavať na servery Windows a nakoniec kompromitovala minimálne 65 z nich. Po preniknutí do servera nasadili rôzne nástroje, vrátane dvoch úplne nových malvérov s názvami Rungan a Gamshen.
Rungan je klasický backdoor, zatiaľ čo Gamshen je ten, ktorý sa stará o zvyšovanie pozícií vo vyhľadávačoch. ESET ho opisuje ako škodlivého trójskeho koňa pre Internet Information Services (ISS), ktorý nie je malvérom v tradičnom zmysle, ale skôr škodlivý natívny ISS modul, ktorý beží priamo v rámci webového servera Windows a selektívne modifikuje HTTP odpovede, ale iba pre webového prehľadávača Google, Googlebot.
Cieľom je vkladať buď spätné odkazy, alebo seo obsah navrhnutý na umelé zvýšenie pozícií stránok hazardných hier vo výsledkoch vyhľadávania Google.
Tento trójsky kôň je obzvlášť nenápadný tým, že bežní návštevníci nie sú ovplyvnení a obete si narušenie všimnú až po tom, čo ich SEO pozície klesnú alebo Google označí stránku za podozrivé správanie.
Väčšina infikovaných serverov sa nachádzala v Latinskej Amerike a Južnej Ázii – Brazília, Peru, Thajsko a Vietnam. Kompromitované servery boli objavené aj v Spojených štátoch, ale ESET sa domnieva, že útočníci sa primárne zameriavali na servery v Južnej Amerike a Južnej Ázii.
Zdá sa, že hackeri sa nezameriavajú na žiadne konkrétne odvetvie, pretože útoky boli zaznamenané vo vzdelávaní, zdravotníctve, poisťovníctve, doprave, technológiách a maloobchode.
Počiatočný prístup bol pravdepodobne dosiahnutý zneužitím chyby SQL injection, dospel k záveru ESET. Odtiaľ nasadili PowerShell na stiahnutie nástrojov na zvýšenie privilégií systému Windows a droppery. Následne nasadili Rungan a Gamshen pre finálnu fázu útoku.
