Source: https://www.darkreading.com/cyber-risk/chinese-hackers-google-boost-gambling-sites
🛡 概要
中国を拠点とすると思われるプロのサイバー犯罪組織が、さまざまなギャンブルサイトの検索ランキングを人工的に引き上げるためのSEO操作キャンペーンを展開しています。このキャンペーンは「GhostRedirector」と呼ばれ、Windows Webサーバーを狙ってサイトを侵害し、権限昇格や持続性を確保するためのマルウェアツールを仕込む手法を用いています。ESETの調査によると、この攻撃は少なくとも2024年8月から活動しており、ブラジル、ベトナム、タイの数十のサイトに影響を与えています。
🔍 技術詳細
GhostRedirectorの攻撃チェーンは、まず脅威アクターがWindows Webサーバーに初期アクセスを得ることから始まります。これは未パッチのSQLインジェクション脆弱性を悪用している可能性があります。サーバーに侵入した後、PowerShellを使用して異なるマルウェアツールをダウンロードします。新たに追跡されている「Rungan」と「Gamshen」という2つのマルウェアツールが確認されています。RunganはC++で書かれたパッシブバックドアで、Gamshenは悪意のある機能を持つIISコンポーネントとして実装されています。これにより、攻撃者はサーバー上で任意のコマンドを実行できます。
⚠ 影響
GhostRedirectorの影響を受けたサイトは、医療、教育、交通、保険、小売、技術分野など多岐にわたります。特に、IISバックドアは検出が困難で、攻撃者は脆弱なWebサーバーに持続的なバックドアを確立できるため、深刻なセキュリティリスクを引き起こします。Microsoftも悪意のあるIIS拡張が持つ脅威の広がりを認識し、警告を発しています。
🛠 対策
ESETは、IISサーバーの管理者に対し、専用アカウントの使用、強力なパスワード、マルチファクター認証の導入を推奨しています。また、ネイティブIISモジュールは信頼できるソースからのみインストールでき、信頼できるプロバイダーによって署名されていることを確認するようにアドバイスしています。これにより、攻撃者が悪意のあるモジュールを仕込むリスクを軽減できます。
