「Ghostredirector」と呼ばれる新しい脅威アクターは、ギャンブルWebサイトの検索ランキングを人為的に強化することを目的とした洗練された検索エンジン最適化(SEO)操作キャンペーンを実施しています。 ESETの研究者は、このグループが中国に拠点を置く可能性が高いと考えています。この操作は、2024年8月頃に始まったもので、Windows Webサーバーで実行されているWebサイトを侵害し、マルウェアツールを展開して特権をエスカレートし、持続性を維持し、GoogleのWebサイトインデックスクローラーを操作します。主にブラジル、ベトナム、タイで、数十のウェブサイトが影響を受けています。少数の侵害されたサイトは米国に拠点を置いていますが、対象国で主要な事業を展開している企業に属しているようです。 ESETの分析により、被害者は、ヘルスケア、教育、輸送、保険、小売、技術など、幅広いセクターに及ぶことが明らかになり、ターゲティングはセクター固有ではないことが示唆されています。攻撃チェーンは、GhostredirectorがWindows Webサーバーへの初期アクセスを獲得することから始まります。中に入ると、The Threat ActorはPowerShellを使用して、ESETがRunganとGamshenとして追跡する2つの以前に見えないコンポーネントを含む一連のマルウェアツールをダウンロードします。特権エスカレーションは、2つの既知のエクスプロイト、エフスポタトとバッドポテトを使用して達成されます。 Runganは、C ++で書かれたパッシブバックドアで、攻撃者に侵害されたWebサーバーへのリモートアクセスを付与し、任意のコマンドを実行できるようにします。 Gamshenは、悪意のある機能を備えたネイティブインターネット情報サービス(IIS)コンポーネントです。 IISは、多くのWindowsベースのWebサイトを駆動するMicrosoftのWebサーバーソフトウェアです。開発者が独自の新しいWebサーバー機能を拡張または追加するために使用できるモジュラーアーキテクチャを備えています。インストールすると、ネイティブIISコンポーネントが高い特権でサーバーレベルで動作し、検出と削除が困難になります。 Gamshenの主な機能は、Ghostredirectorが宣伝したいWebサイトへのリンクを密かに注入することです。 GoogleのGoogleBotが侵害されたWebサイトにアクセスしてインデックスを作成すると、Gamshenは検索エンジンクローラーを検出し、ターゲットWebサイトをページコンテンツに指すリンクを注入します。これにより、正当な、しかし妥協したWebサイトからのバックリンクが作成され、ターゲットを絞ったギャンブルWebサイトの検索ランキングを人為的に強化します。 ESETは、GAMSHENのような悪意のあるIIS拡張機能を、「侵害されたIISサーバーに挿入するHTTP要求をインターセプトし、サーバーがこれらの要求に(一部)に応答する方法に影響する」ツールとして説明しました。マイクロソフトはまた、悪意のあるIIS拡張機能によってもたらされる脅威を認めており、敵がそれらを使用して永続的なバックドアを重要なWebサーバーに確立できることを警告しています。 Splunkは7月に、複数の重要なSharePointの脆弱性と悪意のあるIISモジュールのエクスプロイトを組み合わせて、脆弱なシステムの深い持続性を実現する脅威アクターについて警告を発しました。 Microsoftによると、IISバックドアは、「ターゲットアプリケーションで使用されている正当なモジュールと同じディレクトリに存在し、Cleanモジュールと同じコード構造に従う」ため、検出が困難です。 Ghostredirectorは、SEO中毒技術を採用した中国に拠点を置く最初の脅威アクターではありません。 Cisco Talosは昨年、別の中国人俳優であるDragonflyがBadiisと呼ばれるマルウェアで同様のテクニックを使用したと報告しました。 ESETは、組織がIISサーバー管理者に専用アカウント、強力なパスワード、およびマルチファクター認証を使用することを推奨しています。同社はまた、管理者がネイティブIISモジュールを信頼できるソースからのみインストールし、信頼できるプロバイダーによって署名できるようにすることをアドバイスしています。
Source: ESETは、ギャンブルサイトをターゲットにしたGhostredirector SEOキャンペーンを見つけます
