Новый актер угрозы, получивший название «Ghostredirector», проводит изысканной кампании по манипуляции с оптимизацией поисковой оптимизации (SEO), направленной на искусственное повышение рейтинга поисковых игровых сайтов. Исследователи ESET считают, что группа, вероятно, базируется в Китае. Операция, которая началась около августа 2024 года, включает в себя компрометирование веб -сайтов, работающих на веб -серверах Windows, и развертывание инструментов вредоносных программ, чтобы обострить привилегии, поддержание постоянства и манипулирования игроками на веб -сайте Google. Десятки веб -сайтов были затронуты, прежде всего в Бразилии, Вьетнаме и Таиланде. Небольшое количество скомпрометированных сайтов базируется в США, но, по -видимому, принадлежит компаниям с основными операциями в целевых странах. Анализ ESET показал, что жертвы охватывают широкий спектр секторов, включая здравоохранение, образование, транспорт, страхование, розничную торговлю и технологии, что предполагает, что таргетинг не является специфичным для сектора. Цепочка атаки начинается с того, что Ghostredirector получает начальный доступ к веб -серверам Windows, вероятно, используя непреднамеренные уязвимости инъекции SQL. Оказавшись внутри, актер угрозы использует PowerShell для загрузки набора инструментов вредоносных программ, в том числе два ранее невидимых компонента, которые отслеживают как Rungan и Gamshen. Эскалация привилегий достигается с использованием двух известных эксплойтов, EFSpotato и Badpotato. Rungan – это пассивный бэкдор, написанный в C ++, который предоставляет атакующего удаленный доступ к скомпрометированным веб -серверам и позволяет им выполнять произвольные команды. Gamshen – это компонент Internet Information Services (IIS) с вредоносными возможностями. IIS-это программное обеспечение Microsoft Web Server, которое питает множество веб-сайтов на основе Windows. Он имеет модульную архитектуру, которую разработчики могут использовать для расширения или добавления собственных собственных функций веб -сервера. После установки нативный компонент IIS работает на уровне сервера с высокими привилегиями, что затрудняет обнаружение и удаление. Основная функция Gamshen заключается в том, чтобы тайно вводить ссылки на веб -сайты, которые Ghostredirector хочет продвигать. Когда Googlebot от Google посещает скомпрометированный веб -сайт, чтобы индексировать его, Gamshen обнаруживает, что поисковый гусеницы и вводят ссылки, указывающие на целевой веб -сайт в содержание страницы. Это создает обратные ссылки от законных, но скомпрометированных веб -сайтов, искусственно увеличивая рейтинг поискового уровня целевых игровых сайтов. ESET описал вредоносные расширения IIS, такие как Gamshen как инструменты для «перехвата HTTP -запросов, входящих на скомпрометированный сервер IIS, и влияет на то, как сервер реагирует на (некоторые из этих) этих запросов». Microsoft также признала угрозу, представляемую злонамеренными расширениями IIS, предупреждая, что противники могут использовать их для установления постоянных бэкдоров в критические веб -серверы. В июле Splunk выпустил предупреждение о том, что актеры угроз, объединяющие эксплойты для множества важных уязвимостей SharePoint со злонамеренными модулями IIS для достижения глубокой стойкости в уязвимых системах. Согласно Microsoft, IIS Backdoors трудно обнаружить, потому что «они в основном находятся в тех же каталогах, что и законные модули, используемые целевыми приложениями, и следуют той же структуре кода, что и чистые модули». Ghostredirector-не первый китайский актер угроз, который использует методы отравления SEO. В прошлом году Cisco Talos сообщила, что Dragonfly, еще один китайский актер, использовал аналогичную технику с вредоносным программным обеспечением под названием Badiis. ESET рекомендует организациям использовать выделенные учетные записи, сильные пароли и многофакторную аутентификацию для администраторов сервера IIS. Компания также советует, чтобы администраторы обеспечили, чтобы местные модули IIS могли быть установлены только из надежных источников и подписаны доверенным поставщиком.
Source: Eset находит кампанию SEO Ghostredirector, нацеленную на сайты азартных игр
