- 中国のグループ「GhostRedirector」が少なくとも65台のWindowsサーバーを乗っ取り、不正なギャンブルサイトのGoogleランキングを向上させた
- 彼らは2つの新しいツール「Rungan」と「Gamshen」を使用した
- 攻撃は主にラテンアメリカと南アジアの複数業界のサーバーに、SQLインジェクション経由で行われた可能性が高い
数十台のWindowsサーバーが中国のハッカーグループによって乗っ取られ、不正なギャンブルウェブサイトのGoogleランキングを向上させるために利用されていたことが、専門家によって明らかになりました。
セキュリティ研究者のESETは「GhostRedirector」と呼ばれる活動について説明しており、これは2024年12月からWindowsサーバーを標的にし、最終的に少なくとも65台が侵害されました。サーバーへの侵入後、彼らは「Rungan」と「Gamshen」という2つの新しいマルウェアを含む様々なツールを展開しました。
Runganは典型的なバックドアであり、Gamshenは検索エンジンランキングの向上を担っています。ESETによれば、これは悪意のあるインターネットインフォメーションサービス(ISS)トロイの木馬であり、従来のマルウェアとは異なり、Windowsウェブサーバー内で直接動作する悪意のあるネイティブISSモジュールです。これはHTTPレスポンスを選択的に変更しますが、Googleのウェブクローラー「Googlebot」に対してのみ行われます。
南アメリカと南アジアが標的に
目的は、バックリンクやSEOコンテンツを注入し、ギャンブルサイトのGoogle検索ランキングを人工的に向上させることです。
このトロイの木馬が特にステルス性が高い理由は、通常の訪問者には影響がなく、被害サイトはSEOランキングが急落したり、Googleから不審な行動としてフラグが立てられるまで侵入に気付かないことです。
感染したサーバーの大半はラテンアメリカと南アジア、すなわちブラジル、ペルー、タイ、ベトナムにありました。アメリカ合衆国でも侵害されたサーバーが発見されましたが、ESETは攻撃者が主に南アメリカと南アジアのサーバーを標的にしていたと考えています。
また、ハッカーたちは特定の業界を狙っているわけではなく、教育、医療、保険、運輸、技術、小売など様々な業界で攻撃が確認されています。
初期アクセスはSQLインジェクションの脆弱性を悪用して得られた可能性が高いとESETは結論付けています。そこからPowerShellを使ってWindowsの権限昇格ツールやドロッパーをダウンロードし、最終段階でRunganとGamshenを設置しました。
出典:The Register
