ESET은 도박 사이트를 타겟팅하는 Ghostredirector SEO 캠페인을 찾습니다

“Ghostredirector”라고 불리는 새로운 위협 행위자는 도박 웹 사이트의 검색 순위를 인위적으로 강화하기위한 정교한 검색 엔진 최적화 (SE) 조작 캠페인을 수행하고 있습니다. ESET 연구원들은이 그룹이 중국에 기반을두고 있다고 생각합니다. 2024 년 8 월경에 시작된이 작업에는 Windows 웹 서버에서 실행되는 웹 사이트를 타협하고 맬웨어 도구를 배포하여 권한을 확대하고 지속성을 유지하며 Google 웹 사이트 인덱싱 크롤러를 조작합니다. 브라질, 베트남 및 태국에서 수십 개의 웹 사이트가 주로 영향을 받았습니다. 소수의 타협 된 사이트는 미국에 기반을두고 있지만 대상 국가에서 1 차 운영을 가진 회사에 속한 것으로 보입니다. ESET의 분석에 따르면 피해자는 의료, 교육, 교통, 보험, 소매 및 기술을 포함한 광범위한 부문에 걸쳐 표적이 부문 별이 아님을 시사합니다. 공격 체인은 Ghostredirector가 방치되지 않은 SQL 주입 취약점을 악용하여 Windows 웹 서버에 대한 초기 액세스를 얻는 것으로 시작합니다. 일단 안으로 들어가면 위협 행위자는 PowerShell을 사용하여 ESET가 Rungan 및 Gamshen으로 추적하는 이전에 보이지 않는 두 구성 요소를 포함하여 맬웨어 도구 제품군을 다운로드합니다. 특권 에스컬레이션은 두 개의 알려진 익스플로잇, 에프 스포 타토 및 배드 포토토를 사용하여 달성됩니다. Rungan은 C ++로 작성된 수동 백도어로 공격자에게 타협 된 웹 서버에 대한 원격 액세스를 부여하고 임의의 명령을 실행할 수 있습니다. Gamshen은 악의적 인 기능을 갖춘 기본 인터넷 정보 서비스 (IIS) 구성 요소입니다. IIS는 많은 Windows 기반 웹 사이트를 전원하는 Microsoft의 웹 서버 소프트웨어입니다. 개발자가 자체적으로 새로운 웹 서버 기능을 확장하거나 추가하는 데 사용할 수있는 모듈 식 아키텍처가 특징입니다. 일단 설치되면 기본 IIS 구성 요소가 높은 권한이있는 서버 레벨에서 작동하므로 감지 및 제거하기가 어렵습니다. Gamshen의 주요 기능은 Ghostredirector가 홍보하려는 웹 사이트에 대한 링크를 비밀리에 주입하는 것입니다. Google의 GoogleBot이 손상된 웹 사이트를 방문하여 색인을 인덱싱하면 Gamshen은 검색 엔진 크롤러를 감지하고 대상 웹 사이트에 대한 링크를 페이지 컨텐츠에 넣습니다. 이로 인해 합법적이지만 타협 된 웹 사이트에서 백 링크가 생성되어 대상 도박 웹 사이트의 검색 순위를 인위적으로 향상시킵니다. ESET은 Gamshen과 같은 악의적 인 IIS 확장을 “손상된 IIS 서버와의 HTTP 요청을 가로 채고 서버가 이러한 요청 중 일부에 반응하는 방식에 영향을 미치는 도구”로 설명했습니다. Microsoft는 또한 악의적 인 IIS 확장에 의해 제기 된 위협을 인정했으며, 적대자들은이를 사용하여 중요한 웹 서버로 지속적 인 백도어를 설정할 수 있다고 경고했습니다. Splunk는 7 월에 여러 중요한 SharePoint 취약성에 대한 악용을 악의적 인 IIS 모듈과 결합하여 취약한 시스템에 대한 깊은 지속성을 달성하는 위협 행위자에 대한 경고를 발표했습니다. Microsoft에 따르면 IIS 백도어는 “대상 응용 프로그램에서 사용하는 합법적 인 모듈과 동일한 디렉토리에 거주하며 청정 모듈과 동일한 코드 구조를 따릅니다.” Ghostredipector는 SEO 중독 기술을 사용한 최초의 중국 기반 위협 행위자가 아닙니다. Cisco Talos는 작년에 또 다른 중국 배우 인 Dragonfly가 Badiis라는 맬웨어와 비슷한 기술을 사용했다고보고했습니다. ESET은 조직이 IIS 서버 관리자에게 전용 계정, 강력한 비밀번호 및 다중 요소 인증을 사용하는 것이 좋습니다. 또한이 회사는 관리자가 신뢰할 수있는 출처에서만 기본 IIS 모듈을 설치할 수 있고 신뢰할 수있는 공급자가 서명 할 수 있도록 조언합니다.

Source: ESET은 도박 사이트를 타겟팅하는 Ghostredirector SEO 캠페인을 찾습니다