|
|
据斯洛伐克网络安全公司 ESET 称,这些攻击导致部署了一个名为 Rungan 的被动 C++ 后门和一个代号为 Gamshen 的原生互联网信息服务 (IIS) 模块。据信,该威胁行为者至少自 2024 年 8 月起就一直活跃。
ESET 研究员 Fernando Tavella 在与 The Hacker News 分享的一份报告中表示:“虽然 Rungan 有能力在受感染的服务器上执行命令,但 Gamshen 的目的是提供 SEO 欺诈即服务,即操纵搜索引擎结果,提高配置目标网站的页面排名。 ”
“尽管 Gamshen 只会在请求来自 Googlebot 时修改响应 - 即它不会提供恶意内容或以其他方式影响网站的常规访问者 - 但参与 SEO 欺诈计划可能会损害受感染主机网站的声誉,因为它会将其与可疑的 SEO 技术和提升的网站联系起来。”
审计及其他
该黑客组织的其他目标包括秘鲁、美国、加拿大、芬兰、印度、荷兰、菲律宾和新加坡。据称,此次攻击活动不分皂白,尤其针对教育、医疗保健、保险、交通、科技和零售行业的实体。
初始访问目标网络是通过利用漏洞(可能是 SQL 注入漏洞)来实现的,之后使用 PowerShell 来传递托管在暂存服务器(“868id[.]com”)上的其他工具。
ESET 表示: “我们的观察支持了这一猜想,大多数未经授权的 PowerShell 执行都源自二进制 sqlserver.exe,该文件包含一个存储过程xp_cmdshell,可用于在机器上执行命令。”
Rungan 的设计目标是等待来自符合预定义模式(例如“https://+:80/v1.0/8888/sys.html”)的 URL 的请求,然后解析并执行其中嵌入的命令。它支持四种不同的命令:
mkuser,使用提供的用户名和密码在服务器上创建用户
listfolder,从提供的路径收集信息(未完成)
addurl,注册后门可以监听的新 URL
cmd,使用管道和CreateProcessA API在服务器上运行命令
Gamshen 用 C/C++ 编写,是名为“ Group 13 ”的 IIS 恶意软件家族的一个示例,该家族既可以充当后门,又可以进行 SEO 欺诈。其功能类似于 IISerpent,后者是 ESET 于 2021 年 8 月记录的另一款 IIS 专用恶意软件。
IISerpent被配置为 Microsoft Web 服务器软件的恶意扩展,它允许其拦截对受感染服务器托管的网站发出的所有 HTTP 请求,特别是来自搜索引擎爬虫的请求,并更改服务器的 HTTP 响应,目的是将搜索引擎重定向到攻击者选择的诈骗网站。
塔维拉表示:“GhostRedirector 试图通过使用操纵性的、可疑的 SEO 技术(例如从合法的、受感染的网站创建指向目标网站的虚假反向链接)来操纵特定第三方网站的 Google 搜索排名。”
目前尚不清楚这些反向链接将毫无戒心的用户重定向到何处,但人们相信 SEO 欺诈计划正被用来推广各种赌博网站。
除了 Rungan 和 Gamshen 之外,还掉落了其他各种工具 -
GoToHTTP 建立可通过 Web 浏览器访问的远程连接
BadPotato 或 EfsPotato 用于在管理员组中创建特权用户
Zunput 收集有关 IIS 服务器上托管的网站的信息并投放 ASP、PHP 和 JavaScript Web Shell
CIS 构建套件
根据源代码中硬编码的中文字符串、颁发给中国公司深圳市帝源科技有限公司用于签署特权提升构件的代码签名证书,以及在受感染服务器上为 GhostRedirector 创建的用户之一使用密码“huang”等情况,我们中等程度地评估 GhostRedirector 是一个与中国结盟的威胁行为者。
话虽如此,GhostRedirector 并非第一个与中国相关的利用恶意 IIS 模块进行 SEO 欺诈的威胁行为者。过去一年,思科 Talos 和趋势科技都曾披露过一个名为DragonRank的中文组织,该组织利用 BadIIS 恶意软件进行 SEO 操纵。
该公司表示:“Gamshen 滥用受感染服务器上托管网站的信誉来推广第三方赌博网站——该网站可能是参与 SEO 欺诈即服务计划的付费客户。”
GhostRedirector 还通过在受感染的服务器上部署多个远程访问工具以及创建恶意用户帐户来展示持久性和操作弹性,所有这些都是为了维持对受感染基础设施的长期访问。
|
|
/1 
雷达卡
UID
威望
主题
精华
贡献
墨币
活跃
担保币
发表于 
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜