Исследователи ESET выявили операцию злоумышленников, получившую название GhostRedirector. Актор нацелен преимущественно на серверы Windows и сочетает в своей деятельности пассивный бэкдор на C++ — Rungan, и вредоносный модуль для IIS — Gamshen, используемый для манипуляции результатами поиска Google.
Краткая хронология и точка входа
Деятельность GhostRedirector была обнаружена в декабре 2024 года, однако по найденным образцам исследователи полагают, что операция активна по меньшей мере с августа 2024 года. Первоначальная точка входа, вероятно, связана с эксплуатацией уязвимости, предположительно являющейся SQL injection. После получения доступа злоумышленники используют PowerShell для загрузки дополнительного вредоносного ПО с управляющего сервера 868id.com, а также задействуют другой LOLBin — CertUtil, чтобы облегчить загрузку файлов.
Набор инструментов GhostRedirector
После компрометации серверов злоумышленники развертывают ряд компонентов, среди которых:
- Rungan — пассивный бэкдор на C++, обнаруженный в системном пути C:ProgramDataMicrosoftDRMlogminiscreen.dll, обеспечивающий обратный доступ;
- Gamshen — вредоносный собственный модуль для IIS, перехватывающий и изменяющий ответы на запросы Googlebot;
- Zunput (пример: SitePuts.exe) — компонент, запрашивающий конфигурацию IIS по размещённым веб‑сайтам для сбора информации;
- Инструменты повышения привилегий, реализующие создание привилегированного пользователя в группе администраторов; вероятно, используются общедоступные эксплойти, такие как EfsPotato и BadPotato;
- Другие утилиты и скрипты, обфусцированные с помощью .NET Reactor, некоторые из которых имеют действительные цифровые подписи от TrustAsia RSA, Code Signing CA G3.
Как работает манипуляция поиском
Ключевая цель операции — изменить поведение поисковых роботов (в частности, Googlebot) при обходе скомпрометированных сайтов. Gamshen перехватывает и модифицирует ответы на запросы этих роботов, а также внедряет искусственные обратные ссылки со взломанных серверов на целевые сайты. Такая тактика позволяет:
- искусственно повышать SEO‑рейтинги сторонних сайтов;
- использовать скомпрометированную инфраструктуру как сервис для получения финансовой или конкурентной выгоды (SEO‑fraud as a service);
- скрывать фактическую цель атак за визуально корректно работающими ресурсами.
«Манипуляция ответами Googlebot и создание искусственных обратных ссылок указывает на коммерческую мотивацию операции — злоумышленники используют компрометированные серверы для SEO‑мошенничества», — отмечают исследователи ESET.
Особенности образцов и показательное поведение
Изученные образцы обычно обфусцированы и иногда снабжены легитимными цифровыми подписями, что усложняет их обнаружение. Один из анализируемых образцов демонстрировал попытку отправить своё содержимое по жестко закодированному URL, однако этот конкретный экземпляр, судя по всему, не применялся в активной кампании.
Что это означает для администраторов и владельцев сайтов
GhostRedirector представляет собой сочетание сложных техник компрометации и нетипичного использования скомпрометированных серверов для SEO‑манипуляций. Администраторам рекомендуется обратить внимание на следующие меры:
- проверить серверы IIS на наличие неизвестных модулей и подозрительных DLL в системных путях (включая C:ProgramDataMicrosoftDRMlogminiscreen.dll);
- искать необычную активность PowerShell и вызовы CertUtil для загрузки внешних файлов;
- мониторить исходящие соединения на домен 868id.com и другие подозрительные C2‑адреса;
- проверять учетные записи на предмет незнакомых пользователей в группе Administrators и применять политику минимальных привилегий;
- использовать целевой EDR/AV‑сканинг для обнаружения обфусцированных .NET‑бинарников и подписанных, но вредоносных файлов;
- проводить аудит и исправление уязвимостей в веб‑приложениях, в том числе на предмет SQL injection.
Вывод
GhostRedirector демонстрирует продвинутую и целенаправленную кампанию против Windows‑серверов, объединяя эксплуатацию уязвимостей, локальные методы повышения привилегий и модульную архитектуру для управления компрометированной инфраструктурой. Особенность атаки — изменение поведения Googlebot с целью SEO‑манипуляций — указывает на финансовую мотивацию и возможность предоставления подобных услуг третьим лицам. Организациям следует усилить мониторинг серверов IIS и сетевого трафика, а также оперативно устранять уязвимости в веб‑приложениях.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "GhostRedirector: Rungan и Gamshen манипулируют результатами Google".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.
