新たに特定されたハッキンググループが、世界中で少なくとも65台のWindowsサーバーを侵害しており、主にブラジル、タイ、ベトナムで被害が確認されています。
ESETの研究者によると、GhostRedirectorと名付けられた同グループは、これまで未知だった2つのツールを展開しました。C++製バックドア「Rungan」と、悪意のあるInternet Information Services(IIS)モジュール「Gamshen」です。
Runganは、攻撃者が侵害したサーバー上でコマンドを実行できるようにします。一方のGamshenは、検索エンジンの結果を操作して特定のWebサイトの順位を人為的に押し上げ、特にギャンブル系プラットフォームを優遇します。
この手口は「SEO詐欺のサービス化(SEO fraud-as-a-service)」と説明されており、侵害されたサーバーを利用して、通常の訪問者に影響を与えることなくページ順位を改善します。
「Gamshen […] は悪意のあるコンテンツを配信したり、Webサイトの通常の訪問者に影響を与えたりはしません。SEO詐欺スキームへの参加は、怪しいSEO手法や順位を押し上げられたWebサイトと関連付けられることで、侵害されたホストWebサイトの評判を損なう可能性があります」 とESETは説明しました。
さらに研究者らは、GhostRedirectorが管理者権限を得るためにBadPotatoやEfsPotatoといった既知のエクスプロイトにも依存していたと指摘しました。これらの権限昇格により新規アカウントの作成が可能となり、他のマルウェアが削除された場合でも攻撃者がアクセスを維持できるようになります。
IISマルウェアとSEO詐欺スキームについて詳しく読む:BadIISマルウェアがIISサーバーを悪用してSEO詐欺を実行
攻撃は特定の業界に限定されていませんでした。ESETは、医療、保険、小売、運輸、テクノロジー、教育など、幅広い分野で被害者を確認しています。
影響を受けたサーバーの大半はブラジル、ペルー、タイ、ベトナム、米国に所在していましたが、カナダ、フィンランド、インド、オランダ、フィリピン、シンガポールでも小規模なクラスターが見られました。
調査担当者は、中程度の確度でGhostRedirectorが中国と連携していると結論付けました。これを裏付ける指標として、ハードコードされた中国語の文字列、中国企業に紐づくコード署名証明書、そして中国語(普通話)で「黄色」を意味する「huang」という単語を含むパスワードなどが挙げられました。
この活動は、以前にSEO詐欺との関連が指摘された別の中国系グループ「DragonRank」の活動に類似しています。地理的分布や標的セクターに一部重なりはあるものの、ESETは両グループが関連している証拠はないと強調しました。
ESETによれば、GhostRedirectorは少なくとも2024年8月以降活動しています。このキャンペーンは、ネイティブのIISモジュールが悪用され、検索順位を密かに操作できることを浮き彫りにしています。
MicrosoftのWebサーバーソフトウェアに悪意のあるコードを埋め込むことで、攻撃者は永続性を確保するだけでなく、正規のプラットフォームを利用して怪しいWebサイトへトラフィックを誘導します。
ESETの研究者は、このようなキャンペーンは、エンドユーザーが直接被害を受けていない場合でも、侵害された組織への信頼を損なう可能性があると警告しました。
同様の脅威に備えるため、セキュリティ専門家は、IISサーバーに不審なモジュールがないか監視すること、適時にセキュリティパッチを適用すること、高権限アカウントの使用を制限すること、PowerShellの活動を確認して不審なダウンロードがないか調べることを組織に推奨しています。
サーバー構成とユーザーアカウントの定期的な監査も、長期的な被害を引き起こす前に悪意のある永続化を検知するのに役立ちます。
翻訳元: https://www.infosecurity-magazine.com/news/ghostredirector-new-china-threat/
