9月7日最新消息,知名网络安全公司ESET的研究团队于9月4日披露,发现一个名为“GhostRedirector”的新型黑客组织。该组织自2024年12月以来,已成功入侵至少65台位于巴西、泰国和越南的Windows服务器,不仅长期控制受害服务器,更涉嫌操纵Google搜索排名,属于高隐蔽性SEO欺诈攻击。
据ESET报告,GhostRedirector的攻击首先利用Windows服务器的SQL注入漏洞,通过恶意工具包实施渗透。成功入侵后,黑客部署了一款名为“Rungan”的C++被动后门程序。该后门通过监听特定HTTP请求执行远程指令,避免发起外联,有效绕过常见安全检测机制。
更值得关注的是,攻击者还植入了专门针对谷歌爬虫(Googlebot)的恶意IIS模块——“Gamshen”。当谷歌爬虫访问被黑站点时,Gamshen会动态注入恶意内容,尤其是赌博网站相关数据,从而人为操纵搜索结果排序。而普通用户访问时网站显示正常,使得该攻击难以被察觉。ESET将这一类攻击称为“SEO欺诈即服务”(SEO Fraud-as-a-Service)。
此外,GhostRedirector使用仿冒合法域名和有效的代码签名证书以规避安全检测,表现出较强的反侦察能力。该组织还通过多种持久化手段维持访问权限,包括提权漏洞(如BadPotato和EfsPotato)、Webshell以及伪造管理员账户等,能够在主要后门被清除后仍控制受害系统。
受害领域涵盖医疗、教育、零售、交通等多个行业,表明攻击更多出于机会主义而非针对特定部门。
面对这类威胁,ESET建议企业采取以下安全措施:
- 及时更新服务器及相关软件,修补安全漏洞;
- 监控SQL Server进程是否存在异常PowerShell行为;
- 加强SQL注入攻击防护机制;
- 定期审计IIS模块及服务器管理员账户,排查非法变更。
