IT之家 9 月 7 日消息，網(wǎng)絡(luò)安全公司 ESET 的安全研究人員于 9 月 4 日宣布發(fā)現(xiàn)了一個代號為 GhostRedirector 的新型黑客組織。

據(jù)稱，該組織自 2024 年 12 月起已入侵至少 65 臺位于巴西、泰國和越南的 Windows 服務(wù)器；該組織不僅長期維持后門訪問，還利用受害服務(wù)器操縱谷歌搜索排名。

IT之家從 ESET 獲悉，其攻擊始于 Windows 服務(wù)器的 SQL 注入漏洞，黑客通過下載惡意工具包展開滲透。入侵后，他們會部署被稱為“Rungan”的被動式 C++ 后門，該程序通過監(jiān)聽特定 URL 模式下的 HTTP 請求實(shí)現(xiàn)遠(yuǎn)程命令執(zhí)行，避免創(chuàng)建外部連接，從而規(guī)避安全警報。

然后，黑客會在服務(wù)器中植入了專門針對谷歌爬蟲（Googlebot）的惡意 IIS 模塊，被稱為“Gamshen”。

當(dāng)谷歌爬蟲爬到被攻陷的服務(wù)器網(wǎng)站時，Gamshen 會動態(tài)篡改頁面內(nèi)容，將指令服務(wù)器的數(shù)據(jù)注入網(wǎng)頁，從而人為提升賭博網(wǎng)站的搜索排名。

同時，普通用戶訪問的時候則顯示正常頁面，其手法對普通用戶來說幾乎不可察覺。ESET 研究人員指出：“這相當(dāng)于一種 SEO 欺詐即服務(wù)”。

研究人員還強(qiáng)調(diào)，該組織使用看似合法的域名和有效的代碼簽名證書來規(guī)避檢測。攻擊者使用偽裝域名和有效代碼簽名證書規(guī)避檢測。

GhostRedirector 展現(xiàn)出較高的行動隱蔽性和持久性。其維持訪問的手段包括提權(quán)漏洞（BadPotato、EfsPotato）、webshell 以及偽造管理員賬號等多層機(jī)制，確保即使主要后門被清除仍能持續(xù)控制系統(tǒng)。

該組織針對的領(lǐng)域覆蓋醫(yī)療、教育、零售、交通等多個行業(yè)，顯示出更傾向于機(jī)會性攻擊，而非特定行業(yè)定向打擊。

面對這一情況，專家建議及時更新服務(wù)器軟件、監(jiān)控 SQL Server 進(jìn)程中異常的 PowerShell 執(zhí)行、強(qiáng)化 SQL 注入防御，以及定期審計 IIS 模塊和管理員賬戶。