Uusi uhka -näyttelijä, nimeltään ”Ghostredirector”, johtaa hienostunutta hakukoneoptimointia (SEO) manipulointikampanjaa, jonka tavoitteena on keinotekoisesti parantaa uhkapelisivustojen hakuarvioita. ESET -tutkijoiden mielestä ryhmä on todennäköisesti Kiinassa. Elokuuta 2024 alkanut operaatio sisältää Windows Web -palvelimilla toimivien verkkosivustojen vaarantamisen ja haittaohjelmien työkalujen käyttöönottoa etuoikeuksien lisäämiseksi, pysyvyyden ylläpitämiseksi ja Googlen verkkosivustojen indeksointi indeksoimien indeksoimiseksi. Kymmeniä verkkosivustoja on vaikuttanut pääasiassa Brasiliassa, Vietnamissa ja Thaimaassa. Pieni joukko vaarantuneita sivustoja sijaitsee Yhdysvalloissa, mutta ne näyttävät kuuluvan yrityksille, joilla on ensisijainen toiminta kohdennettuissa maissa. ESET: n analyysi paljasti, että uhrit kattavat laajan valikoiman sektoreita, mukaan lukien terveydenhuolto, koulutus, kuljetus, vakuutus, vähittäiskauppa ja tekniikka, mikä viittaa siihen, että kohdistaminen ei ole alakohtaista. Hyökkäysketju alkaa Ghostredirector -sovelluksen saamassa alkuperäisen pääsyn Windows Web -palvelimiin, todennäköisesti hyödyntämällä purkamattomia SQL -injektiohäiriöitä. Sisällä ollessaan uhka -näyttelijä käyttää PowerShelliä lataamaan sarjan haittaohjelmatyökaluja, mukaan lukien kaksi aiemmin näkymätöntä komponenttia, jotka seuraavat Runganin ja Gamshenin. Etuoikeuden lisääntyminen saavutetaan käyttämällä kahta tunnettua hyväksikäyttöä, efspotato ja badpototo. Rungan on passiivinen takaovi, joka on kirjoitettu C ++: lla, joka antaa hyökkääjille etäkäytön vaarantuneille verkkopalvelimille ja antaa heille mahdollisuuden suorittaa mielivaltaisia ​​komentoja. Gamshen on natiivi Internet -tietopalveluiden (IIS) komponentti, jolla on haitalliset ominaisuudet. IIS on Microsoftin verkkopalvelinohjelmisto, joka käyttää monia Windows-pohjaisia ​​verkkosivustoja. Siinä on modulaarinen arkkitehtuuri, jota kehittäjät voivat käyttää omien uusien verkkopalvelinominaisuuksien laajentamiseen tai lisäämiseen. Asennuksen jälkeen Native IIS -komponentti toimii palvelintasolla, jolla on korkeat oikeudet, mikä vaikeuttaa havaitsemista ja poistamista. Gamshenin ensisijainen tehtävä on injektoida salaisesti linkkejä verkkosivustoihin, joita Ghostredirector haluaa edistää. Kun Googlen Googlebot vierailee vaarantuneella verkkosivustolla indeksoidaksesi sen, Gamshen havaitsee hakukoneiden indeksoinnin ja injektoi linkkejä kohderkkailuun sivun sisältöön. Tämä luo käänteisiä linkkejä laillisista, mutta vaarantuneista verkkosivustoista, jotka lisäävät keinotekoisesti kohdennettujen uhkapelisivustojen hakuarvioita. ESET kuvaili haitallisia IIS -laajennuksia, kuten Gamshen, työkaluina ”sieppaamaan HTTP -pyyntöjä saapuvat vaarantuneelle IIS -palvelimelle ja vaikuttamaan siihen, kuinka palvelin reagoi näihin pyyntöihin (joihinkin) (osa)”. Microsoft on myös tunnustanut haitallisten IIS -laajennusten aiheuttaman uhan ja varoittaen, että vastustajat voivat käyttää niitä pysyvien takaovien määrittämiseen kriittisiin verkkopalvelimiin. Splunk antoi heinäkuussa varoituksen siitä, että uhkatoimijat yhdistävät useiden tärkeiden SharePoint -haavoittuvuuksien hyödyntämisen haitallisten IIS -moduulien kanssa syvän pysyvyyden saavuttamiseksi haavoittuvissa järjestelmissä. Microsoftin mukaan IIS -takaovia on vaikea havaita, koska ”ne asuvat enimmäkseen samoissa hakemistoissa kuin lailliset moduulit, joita kohdesovellukset käyttävät ja ne seuraavat samaa koodirakennetta kuin puhtaat moduulit”. Ghostredirector ei ole ensimmäinen kiinalainen uhka-toimittaja, joka käyttää SEO-myrkytystekniikoita. Cisco Talos kertoi viime vuonna, että toinen kiinalainen näyttelijä Dragonfly käytti samanlaista tekniikkaa Badiis -nimisen haittaohjelmien kanssa. ESET suosittelee, että organisaatiot käyttävät erillisiä tilejä, vahvoja salasanoja ja monitektorisia todennuksia IIS-palvelimen järjestelmänvalvojille. Yhtiö neuvoo myös, että järjestelmänvalvojat varmistavat, että alkuperäiset IIS -moduulit voidaan asentaa vain luotetuista lähteistä ja luotettava palveluntarjoaja allekirjoittaa ne.

Source: ESET löytää Ghostredirector SEO -kampanjan, joka kohdistuu uhkapelisivustoihin