中國支持的新APT組織GhostRedirector，入侵全球Windows伺服器

近期發現的駭客組織 GhostRedirector 已入侵全球至少 65 台 Windows 伺服器，受害目標主要集中在巴西、泰國和越南。ESET 研究人員報告指出，該組織運用了兩種攻擊工具：Rungan C++ 後門程式和 Gamshen 惡意 IIS 模組。

Rungan 後門可讓攻擊者在被感染的伺服器上執行指令，而 Gamshen 則專門操縱搜尋引擎結果，主要用於提升博弈平台的網站排名。這種「搜尋引擎優化詐欺即服務」策略巧妙利用遭駭伺服器來提高特定頁面的排名，同時不影響一般使用者的瀏覽體驗。

ESET 研究人員解釋，Gamshen 本身不會提供惡意內容或影響網站的一般訪客，但參與這種搜尋引擎最佳化（SEO）詐欺可能會損害被入侵網站的聲譽，因為它將網站與不正當的 SEO 技術和可疑的推廣網站聯繫在一起。

此外，研究人員指出，GhostRedirector 也利用已知的提權漏洞（如 BadPotato 和 EfsPotato）來獲取系統管理員權限。這些權限提升讓攻擊者能夠建立新帳號，確保即使其他惡意程式被移除，他們仍能維持對系統的存取。

這些攻擊橫跨多個產業，而非鎖定單一領域。ESET 發現受害者分布在醫療保健、保險、零售、交通運輸、科技和教育等多個領域。受影響的伺服器主要分布在巴西、秘魯、泰國、越南和美國，而加拿大、芬蘭、印度、荷蘭、菲律賓和新加坡則有較小規模的攻擊案例。

研究人員認為 GhostRedirector 與中國有關連，這個結論建立在多項證據上：程式碼中出現的中文字串、使用與中國公司相關的程式碼簽署憑證，以及含有漢語「huang」（黃色）的密碼。此攻擊模式類似於另一個中國相關駭客組織 DragonRank，該組織也曾進行搜尋引擎優化詐欺。雖然這兩個組織在地理分布和目標產業上有重疊，但 ESET 強調目前沒有證據證明兩者之間存在直接關聯。

GhostRedirector 自 2024 年 8 月起開始活躍，這次攻擊揭示了攻擊者如何巧妙利用原生 IIS 模組來悄然操控搜尋排名。透過在微軟網頁伺服器軟體中植入惡意程式碼，攻擊者不僅能在系統中長期潛伏，還能藉由合法平台將流量重導至可疑網站。

ESET 研究團隊警告，這類攻擊行動即使不直接危害終端使用者，仍可能侵蝕外界對被入侵組織的信任。

為防禦此類威脅，資安專家建議組織：定期監控 IIS 伺服器上的異常模組、及時套用安全性更新、限制高權限帳號使用，並審查 PowerShell 活動中的可疑下載行為。此外，定期稽核伺服器設定和使用者帳號有助於在惡意程式造成長期損害前及早發現持久性後門。

本文轉載自 InfosecurityMagazine。