IT之家 9 月 7 日消息，網絡安全公司 ESET 的安全研究人員于 9 月 4 日宣布發(fā)現(xiàn)了一個代號為 GhostRedirector 的新型黑客組織。

據稱，該組織自 2024 年 12 月起已入侵至少 65 臺位于巴西、泰國和越南的 Windows 服務器；該組織不僅長期維持后門訪問，還利用受害服務器操縱谷歌搜索排名。

IT之家從 ESET 獲悉，其攻擊始于 Windows 服務器的 SQL 注入漏洞，黑客通過下載惡意工具包展開滲透。入侵后，他們會部署被稱為“Rungan”的被動式 C++ 后門，該程序通過監(jiān)聽特定 URL 模式下的 HTTP 請求實現(xiàn)遠程命令執(zhí)行，避免創(chuàng)建外部連接，從而規(guī)避安全警報。

然后，黑客會在服務器中植入了專門針對谷歌爬蟲（Googlebot）的惡意 IIS 模塊，被稱為“Gamshen”。

當谷歌爬蟲爬到被攻陷的服務器網站時，Gamshen 會動態(tài)篡改頁面內容，將指令服務器的數據注入網頁，從而人為提升賭博網站的搜索排名。

同時，普通用戶訪問的時候則顯示正常頁面，其手法對普通用戶來說幾乎不可察覺。ESET 研究人員指出：“這相當于一種 SEO 欺詐即服務”。

研究人員還強調，該組織使用看似合法的域名和有效的代碼簽名證書來規(guī)避檢測。攻擊者使用偽裝域名和有效代碼簽名證書規(guī)避檢測。

GhostRedirector 展現(xiàn)出較高的行動隱蔽性和持久性。其維持訪問的手段包括提權漏洞（BadPotato、EfsPotato）、webshell 以及偽造管理員賬號等多層機制，確保即使主要后門被清除仍能持續(xù)控制系統(tǒng)。

該組織針對的領域覆蓋醫(yī)療、教育、零售、交通等多個行業(yè)，顯示出更傾向于機會性攻擊，而非特定行業(yè)定向打擊。

面對這一情況，專家建議及時更新服務器軟件、監(jiān)控 SQL Server 進程中異常的 PowerShell 執(zhí)行、強化 SQL 注入防御，以及定期審計 IIS 模塊和管理員賬戶。