サイバーセキュリティ研究者は、主にブラジル、タイ、ベトナムに位置する少なくとも65台のWindowsサーバーを侵害した、これまで文書化されていなかった脅威グループGhostRedirectorの実態を明らかにしました。
スロバキアのサイバーセキュリティ企業ESETによると、これらの攻撃により、Runganと呼ばれるパッシブなC++製バックドアと、GamshenというコードネームのネイティブInternet Information Services(IIS)モジュールが展開されました。この脅威アクターは少なくとも2024年8月から活動していると考えられています。
「Runganは侵害されたサーバー上でコマンドを実行する能力を持っていますが、Gamshenの目的はSEO詐欺をサービスとして提供すること、すなわち検索エンジンの結果を操作し、設定されたターゲットウェブサイトのページランクを向上させることです」とESETの研究者Fernando Tavella氏はレポートでThe Hacker Newsに語っています。
「GamshenはGooglebotからのリクエスト時のみレスポンスを改変し、悪意のあるコンテンツを配信したり、通常のウェブサイト訪問者に影響を与えたりはしませんが、SEO詐欺スキームへの参加により、侵害されたホストウェブサイトの評判が怪しいSEO手法やブーストされたウェブサイトと関連付けられることで損なわれる可能性があります。」
このハッキンググループの他の標的には、ペルー、米国、カナダ、フィンランド、インド、オランダ、フィリピン、シンガポールなども含まれています。また、教育、医療、保険、運輸、技術、小売などの分野の組織が標的にされており、活動は無差別的であるとされています。
標的ネットワークへの初期アクセスは、脆弱性(おそらくSQLインジェクションの欠陥)を悪用して行われ、その後PowerShellを利用してステージングサーバー(”868id[.]com”)上にホストされた追加ツールが配信されます。
「この推測は、ほとんどの不正なPowerShell実行がバイナリsqlserver.exeから発生しており、これはxp_cmdshellというストアドプロシージャを持ち、マシン上でコマンドを実行できることから裏付けられます」とESETは述べています。
Runganは、あらかじめ定義されたパターン(例:”https://+:80/v1.0/8888/sys.html”)に一致するURLからのリクエストを待ち受け、埋め込まれたコマンドを解析・実行します。対応するコマンドは4種類です。
- mkuser:指定されたユーザー名とパスワードでサーバーにユーザーを作成
- listfolder:指定パスから情報を収集(未完成)
- addurl:バックドアが待ち受ける新しいURLを登録
- cmd:パイプとCreateProcessA APIを使ってサーバー上でコマンドを実行
C/C++で書かれたGamshenは、IISマルウェアファミリー「Group 13」の一例であり、バックドアとしてもSEO詐欺を実行することもできます。これは、ESETが2021年8月に文書化したIIS専用マルウェアIISerpentと類似した動作をします。
IISerpentは、Microsoftのウェブサーバーソフトウェアの悪意ある拡張機能として設定されており、侵害されたサーバーがホストするウェブサイトへのすべてのHTTPリクエスト、特に検索エンジンクローラーからのリクエストを傍受し、攻撃者が選んだ詐欺サイトへ検索エンジンをリダイレクトすることを目的にサーバーのHTTPレスポンスを変更します。
Microsoftは2022年7月に、IIS拡張機能がサーバーに密かに永続的なバックドアを開く可能性があることを認めており、「これらは主にターゲットアプリケーションで使われる正規モジュールと同じディレクトリに存在し、クリーンなモジュールと同じコード構造を持つため、検出が難しい」と述べています。
「GhostRedirectorは、正規の侵害されたウェブサイトからターゲットウェブサイトへの人工的なバックリンクを作成するなど、操作的で怪しいSEO手法を用いて特定の第三者ウェブサイトのGoogle検索ランキングを操作しようとします」とTavella氏は述べています。
これらのバックリンクがどこにユーザーをリダイレクトするのかは現時点では不明ですが、SEO詐欺スキームは様々なギャンブルサイトの宣伝に使われていると考えられています。
また、RunganやGamshenと共に、以下のようなさまざまなツールも投入されています。
- GoToHTTP:ウェブブラウザからアクセス可能なリモート接続を確立
- BadPotatoまたはEfsPotato:管理者グループに特権ユーザーを作成
- Zunput:IISサーバー上にホストされたウェブサイトの情報を収集し、ASP、PHP、JavaScriptのウェブシェルを設置
GhostRedirectorが中国語のハードコード文字列をソースコード内に持つこと、特権昇格用アーティファクトの署名に中国の企業「Shenzhen Diyuan Technology Co., Ltd.」発行のコード署名証明書が使われていること、侵害サーバー上でGhostRedirectorが作成したユーザーの一つに「huang」というパスワードが使われていることから、中程度の確度で中国系の脅威アクターであると評価されています。
とはいえ、GhostRedirectorはSEO詐欺のために悪意あるIISモジュールを使った最初の中国系脅威アクターではありません。過去1年間で、Cisco TalosとTrend Microは、BadIISマルウェアを使ってSEO操作を行う中国語話者グループDragonRankについて詳述しています。
「Gamshenは、侵害されたサーバーにホストされたウェブサイトの信頼性を悪用し、第三者のギャンブルサイト(おそらくSEO詐欺サービススキームに参加する有料クライアント)を宣伝します」と同社は述べています。
「GhostRedirectorはまた、侵害されたサーバー上に複数のリモートアクセスツールを展開し、不正ユーザーアカウントを作成することで、侵害インフラへの長期的なアクセスを維持し、持続性と運用上の回復力を示しています。」
翻訳元: https://thehackernews.com/2025/09/ghostredirector-hacks-65-windows.html