GhostRedirector hack 65 máy chủ Windows bằng Rungan Backdoor và Gamshen IIS

[Starlink]

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một nhóm mối đe dọa chưa từng được ghi nhận trước đây có tên là GhostRedirector, nhóm này đã xâm nhập vào ít nhất 65 máy chủ Windows chủ yếu đặt tại Brazil, Thái Lan và Việt Nam.

Theo công ty an ninh mạng ESET của Slovakia, các cuộc tấn công đã dẫn đến việc triển khai một backdoor C++ thụ động có tên là Rungan và một module Dịch vụ Thông tin Internet (IIS) gốc có tên mã là Gamshen. Nhóm tin tặc này được cho là đã hoạt động ít nhất từ tháng 8 năm 2024.

Nhà nghiên cứu Fernando Tavella của ESET cho biết trong một báo cáo chia sẻ với The Hacker News: "Trong khi Rungan có khả năng thực thi các lệnh trên máy chủ bị xâm phạm, mục đích của Gamshen là cung cấp dịch vụ gian lận SEO, tức là thao túng kết quả của công cụ tìm kiếm, tăng thứ hạng trang của một trang web mục tiêu đã cấu hình ".

"Mặc dù Gamshen chỉ sửa đổi phản hồi khi yêu cầu đến từ Googlebot – tức là nó không cung cấp nội dung độc hại hoặc ảnh hưởng đến những người truy cập thường xuyên vào trang web – nhưng việc tham gia vào chương trình gian lận SEO có thể làm tổn hại đến danh tiếng của trang web lưu trữ bị xâm phạm bằng cách liên kết trang web đó với các kỹ thuật SEO mờ ám và các trang web được tăng cường."

Một số mục tiêu khác của nhóm tin tặc này bao gồm Peru, Hoa Kỳ, Canada, Phần Lan, Ấn Độ, Hà Lan, Philippines và Singapore. Hoạt động này cũng được cho là không phân biệt đối tượng, nhắm vào các tổ chức trong lĩnh vực giáo dục, y tế, bảo hiểm, vận tải, công nghệ và bán lẻ.

Truy cập ban đầu vào mạng mục tiêu được thực hiện bằng cách khai thác lỗ hổng, có thể là lỗi tiêm SQL, sau đó PowerShell được sử dụng để cung cấp các công cụ bổ sung được lưu trữ trên máy chủ trung gian ("868id[.]com").

ESET cho biết: "Giả thuyết này được hỗ trợ bởi quan sát của chúng tôi rằng hầu hết các lệnh thực thi PowerShell trái phép đều bắt nguồn từ tệp nhị phân sqlserver.exe, chứa quy trình được lưu trữ xp_cmdshell có thể được sử dụng để thực thi các lệnh trên máy".

Rungan được thiết kế để chờ các yêu cầu đến từ một URL khớp với một mẫu được xác định trước (ví dụ: "https://+:80/v1.0/8888/sys.html"), sau đó tiến hành phân tích cú pháp và thực thi các lệnh được nhúng trong đó. Nó hỗ trợ bốn lệnh khác nhau -

    mkuser, để tạo một người dùng trên máy chủ với tên người dùng và mật khẩu được cung cấp
    listfolder, để thu thập thông tin từ một đường dẫn được cung cấp (chưa hoàn thành)
    addurl, để đăng ký các URL mới mà cửa sau có thể lắng nghe
    cmd, để chạy lệnh trên máy chủ bằng cách sử dụng các đường ống và API CreateProcessA

Được viết bằng C/C++, Gamshen là một ví dụ về họ phần mềm độc hại IIS có tên " Nhóm 13 ", có thể hoạt động như một cửa hậu và thực hiện gian lận SEO. Nó hoạt động tương tự như IISerpent, một phần mềm độc hại khác dành riêng cho IIS đã được ESET ghi nhận vào tháng 8 năm 2021.

IISerpent, được cấu hình như một tiện ích mở rộng độc hại cho phần mềm máy chủ web của Microsoft, cho phép nó chặn mọi yêu cầu HTTP được gửi đến các trang web do máy chủ bị xâm phạm lưu trữ, đặc biệt là các yêu cầu bắt nguồn từ trình thu thập thông tin của công cụ tìm kiếm và thay đổi phản hồi HTTP của máy chủ với mục đích chuyển hướng các công cụ tìm kiếm đến một trang web lừa đảo do kẻ tấn công lựa chọn.

Tavella cho biết: "GhostRedirector cố gắng thao túng thứ hạng tìm kiếm trên Google của một trang web bên thứ ba cụ thể bằng cách sử dụng các kỹ thuật SEO mờ ám, thao túng như tạo các liên kết ngược nhân tạo từ trang web hợp pháp, bị xâm phạm đến trang web mục tiêu".

Hiện tại vẫn chưa biết những liên kết ngược này sẽ chuyển hướng người dùng không nghi ngờ đến đâu, nhưng người ta tin rằng chương trình gian lận SEO này đang được sử dụng để quảng bá cho nhiều trang web cờ bạc khác nhau.

Ngoài ra còn có nhiều công cụ khác được thả cùng với Rungan và Gamshen -

    GoToHTTP để thiết lập kết nối từ xa có thể truy cập được từ trình duyệt web
    BadPotato hoặc EfsPotato để tạo người dùng có đặc quyền trong nhóm Quản trị viên
    Zunput để thu thập thông tin về các trang web được lưu trữ trên máy chủ IIS và loại bỏ các shell web ASP, PHP và JavaScript

Đánh giá với mức độ tin cậy trung bình rằng GhostRedirector là tác nhân đe dọa có liên kết với Trung Quốc dựa trên sự hiện diện của các chuỗi tiếng Trung được mã hóa cứng trong mã nguồn, chứng chỉ chữ ký mã được cấp cho một công ty Trung Quốc, Shenzhen Diyuan Technology Co., Ltd., để ký các hiện vật leo thang đặc quyền và việc sử dụng mật khẩu "huang" cho một trong những người dùng do GhostRedirector tạo ra trên máy chủ bị xâm phạm.

Tuy nhiên, GhostRedirector không phải là mối đe dọa đầu tiên có liên quan đến Trung Quốc sử dụng các mô-đun IIS độc hại để lừa đảo SEO. Trong năm qua, cả Cisco Talos và Trend Micro đều đã nêu chi tiết về một nhóm nói tiếng Trung Quốc có tên DragonRank đã tham gia vào việc thao túng SEO thông qua phần mềm độc hại BadIIS.

Công ty cho biết: "Gamshen lợi dụng uy tín của các trang web được lưu trữ trên máy chủ bị xâm phạm để quảng bá trang web cờ bạc của bên thứ ba - có khả năng là một khách hàng trả tiền tham gia vào chương trình gian lận SEO theo hình thức dịch vụ".

"GhostRedirector cũng chứng minh tính bền bỉ và khả năng phục hồi hoạt động bằng cách triển khai nhiều công cụ truy cập từ xa trên máy chủ bị xâm phạm, ngoài việc tạo tài khoản người dùng giả mạo, tất cả nhằm duy trì quyền truy cập lâu dài vào cơ sở hạ tầng bị xâm phạm."