中国のハッカー、Googleを操作してギャンブルサイトを強化

出典: Dave Hoeek / Shutterstock

中国を拠点とする可能性が高いプロのサイバー犯罪組織が、さまざまなギャンブルサイトの検索順位を人工的に引き上げることを目的とした高度なSEO操作キャンペーンを展開しています。

ESETの研究者が「GhostRedirector」として追跡しているこの作戦は、Windows Webサーバー上で稼働しているサイトを侵害し、権限昇格や永続化、さらにはGoogleのウェブサイトインデックス用クローラーを操作するためのさまざまなマルウェアツールを仕込むものです。

広範な標的

このキャンペーンは少なくとも2024年8月から活動しているとみられ、主にブラジル、ベトナム、タイの数十のウェブサイトに影響を与えています。これまでに脅威アクターが侵害した65サイトのうち、米国拠点のものもわずかに含まれていますが、これらも主な標的国リストに本拠を置く企業のものとみられます。

ESETによると、これまで知られていなかったこの脅威アクターによる業種特有の標的化の証拠は見つかっておらず、被害者は医療、教育、運輸、保険、小売、テクノロジーなどさまざまな分野にランダムに分布しています。

GhostRedirectorの攻撃チェーンをESETが分析したところ、脅威アクターが初期アクセスを得るのは、おそらく未修正のSQLインジェクション脆弱性を悪用してWindows Webサーバーに侵入することから始まると判明しました。サーバーに侵入すると、GhostRedirectorはPowerShellを使ってさまざまなマルウェアツールをダウンロードします。その中には、ESETが「Rungan」と「Gamshen」として追跡しているこれまで見られなかった2つのツールも含まれます。権限昇格には、研究者が「EfsPotato」とBadPotatoとして追跡している既知の2つのエクスプロイトが使われています。

悪意あるIISモジュール

RunganはC++で書かれたパッシブ型バックドアで、攻撃者に侵害されたWebサーバーへのリモートアクセスを与え、任意のコマンドを実行できるようにします。ESETは、Gamshenが悪意ある機能を持つネイティブInternet Information Services（IIS）コンポーネントとして実装されていることを発見しました。IISはMicrosoftのWebサーバーソフトウェアで、多くのWindowsベースのウェブサイトを支えています。IISはモジュール式アーキテクチャを採用しており、開発者は独自のWebサーバー機能を拡張・追加できます。ネイティブIISコンポーネントがインストールされると、サーバーレベルで高い権限で動作するため、検出や削除が困難です。

これはマルウェア作者が以前から利用してきた侵害後の機能であり、Windows Webサーバーを予期せぬ動作に導くことができます。ESETは2021年のホワイトペーパーで、この種のマルウェアを「サイバー犯罪、サイバースパイ活動、SEO詐欺に使われる多様な脅威クラス」と位置付けています。同社によれば、Gamshenのような悪意あるIIS拡張機能の主な目的は「侵害されたIISサーバーに届くHTTPリクエストを傍受し、これらのリクエストへのサーバーの応答方法に影響を与えること」です。

Microsoftもまた、悪意あるIIS拡張機能がもたらす広範な脅威を認識しており、攻撃者がこれらを使って重要なWebサーバーに永続的なバックドアを設置できることを警告しています。今年7月にも、Splunkが警告したように、複数の重要なSharePoint脆弱性のエクスプロイトと悪意あるIISモジュールを組み合わせ、脆弱なシステムで深い永続性を実現する脅威アクターが現れています。Microsoftによれば、IISバックドアは「主にターゲットアプリケーションが使用する正規モジュールと同じディレクトリに存在し、クリーンなモジュールと同じコード構造を持つため、検出が困難」です。多くの場合、バックドアのロジックは最小限で、追加の文脈がなければ正規の拡張機能とほとんど区別がつかないと同社は述べています。

SEOポイズニング

Gamshenの明確な目的は、GhostRedirectorが宣伝したいウェブサイトへのリンクを密かに提供することです。GoogleのGooglebotが侵害されたウェブサイトをインデックスするために訪れると、Gamshenは検索エンジンクローラーを検知し、ページコンテンツ内にターゲットサイトへのリンクを挿入します。目的は、多数の正規（ただし侵害された）ウェブサイトからバックリンクを生成することで、ターゲットサイトの検索順位を人工的に引き上げることです。GhostRedirectorは、このようなSEOポイズニングを行う中国拠点の脅威アクターとしては初めてではありません。昨年、Cisco Talosが報告したように、DragonFlyという別の中国のアクターも同様の手法を同じ目的や他の目的で用い、「BadIIS」と呼ばれるマルウェアを使っていました。

ネイティブIISモジュールはWindows Webサーバーを最初に侵害しなければ導入できないため、ESETは組織に対し、IISサーバー管理者用に専用アカウント、強力なパスワード、多要素認証を使用することを推奨しています。また、管理者はネイティブIISモジュールが信頼できるソースからのみインストールされ、信頼できるプロバイダーによって署名されていることを確認するよう助言しています。