新たに確認されたハッキンググループが、主にブラジル、タイ、ベトナムを中心に、世界中で少なくとも65台のWindowsサーバーを侵害しました。
ESETの研究者によると、このグループはGhostRedirectorと名付けられ、C++製のバックドア「Rungan」と、悪意のあるInternet Information Services(IIS)モジュール「Gamshen」という、これまで知られていなかった2つのツールを展開しました。
Runganは、攻撃者が侵害されたサーバー上でコマンドを実行できるようにします。一方、Gamshenは検索エンジンの結果を操作し、特定のウェブサイト、特にギャンブルプラットフォームのランキングを人工的に上昇させます。
この手法は「サービスとしてのSEO詐欺」と呼ばれ、侵害されたサーバーを利用してページランキングを向上させますが、通常の訪問者には影響を与えません。
「Gamshenは[…]悪意のあるコンテンツを配信したり、ウェブサイトの通常の訪問者に影響を与えたりすることはありませんが、SEO詐欺スキームへの参加によって、侵害されたホストウェブサイトの評判が、怪しいSEO手法やランキングが上昇したウェブサイトと関連付けられることで損なわれる可能性があります」とESETは説明しています。
さらに研究者らは、GhostRedirectorがBadPotatoやEfsPotatoといった既知のエクスプロイトも利用して管理者権限を獲得していたことを指摘しました。これらの権限昇格により新たなアカウントが作成され、他のマルウェアが削除されても攻撃者がアクセスを維持できるようになっていました。
IISマルウェアとSEO詐欺スキームについて詳しくはこちら:BadIISマルウェアがIISサーバーを悪用しSEO詐欺を実行
攻撃は特定の業界に限定されていませんでした。ESETは、医療、保険、小売、運輸、テクノロジー、教育など幅広い分野で被害者を確認しました。
最も多く影響を受けたサーバーはブラジル、ペルー、タイ、ベトナム、米国にありましたが、カナダ、フィンランド、インド、オランダ、フィリピン、シンガポールにも小規模な被害が見られました。
調査員は、中程度の確度でGhostRedirectorが中国と関係していると結論付けました。これを裏付ける複数の指標として、ハードコードされた中国語の文字列、中国企業に関連するコード署名証明書、「huang」(中国語で「黄色」)という単語を含むパスワードなどが挙げられます。
この活動は、以前SEO詐欺との関連が指摘された中国系グループ「DragonRank」と類似しています。地理的範囲や標的分野に一部重複があるものの、ESETは両グループの関連を示す証拠はないと強調しています。
ESETによると、GhostRedirectorは少なくとも2024年8月から活動しています。このキャンペーンは、IISのネイティブモジュールが検索ランキングを密かに操作するために悪用されうることを浮き彫りにしています。
攻撃者は、Microsoftのウェブサーバーソフトウェアに悪意のあるコードを埋め込むことで、持続的なアクセスを実現するだけでなく、正規のプラットフォームを利用して怪しいウェブサイトへのトラフィックを誘導しています。
ESETの研究者は警告しています。このようなキャンペーンは、エンドユーザーに直接被害がなくても、侵害された組織への信頼を損なう可能性があります。
同様の脅威への対策として、セキュリティ専門家は、IISサーバーで不審なモジュールを監視し、セキュリティパッチを適時適用し、高権限アカウントの使用を制限し、PowerShellの活動を監査して不審なダウンロードを確認することを推奨しています。
サーバー構成やユーザーアカウントの定期的な監査も、長期的な被害が出る前に悪意のある持続的な活動を検出するのに役立ちます。
翻訳元: https://www.infosecurity-magazine.com/news/ghostredirector-new-china-threat/