9月7日最新消息，知名網(wǎng)絡(luò)安全公司ESET的研究團(tuán)隊(duì)于9月4日披露，發(fā)現(xiàn)一個(gè)名為“GhostRedirector”的新型黑客組織。該組織自2024年12月以來(lái)，已成功入侵至少65臺(tái)位于巴西、泰國(guó)和越南的Windows服務(wù)器，不僅長(zhǎng)期控制受害服務(wù)器，更涉嫌操縱Google搜索排名，屬于高隱蔽性SEO欺詐攻擊。

據(jù)ESET報(bào)告，GhostRedirector的攻擊首先利用Windows服務(wù)器的SQL注入漏洞，通過惡意工具包實(shí)施滲透。成功入侵后，黑客部署了一款名為“Rungan”的C++被動(dòng)后門程序。該后門通過監(jiān)聽特定HTTP請(qǐng)求執(zhí)行遠(yuǎn)程指令，避免發(fā)起外聯(lián)，有效繞過常見安全檢測(cè)機(jī)制。

更值得關(guān)注的是，攻擊者還植入了專門針對(duì)谷歌爬蟲（Googlebot）的惡意IIS模塊——“Gamshen”。當(dāng)谷歌爬蟲訪問被黑站點(diǎn)時(shí)，Gamshen會(huì)動(dòng)態(tài)注入惡意內(nèi)容，尤其是賭博網(wǎng)站相關(guān)數(shù)據(jù)，從而人為操縱搜索結(jié)果排序。而普通用戶訪問時(shí)網(wǎng)站顯示正常，使得該攻擊難以被察覺。ESET將這一類攻擊稱為“SEO欺詐即服務(wù)”（SEO Fraud-as-a-Service）。

此外，GhostRedirector使用仿冒合法域名和有效的代碼簽名證書以規(guī)避安全檢測(cè)，表現(xiàn)出較強(qiáng)的反偵察能力。該組織還通過多種持久化手段維持訪問權(quán)限，包括提權(quán)漏洞（如BadPotato和EfsPotato）、Webshell以及偽造管理員賬戶等，能夠在主要后門被清除后仍控制受害系統(tǒng)。

受害領(lǐng)域涵蓋醫(yī)療、教育、零售、交通等多個(gè)行業(yè)，表明攻擊更多出于機(jī)會(huì)主義而非針對(duì)特定部門。

面對(duì)這類威脅，ESET建議企業(yè)采取以下安全措施：

• 及時(shí)更新服務(wù)器及相關(guān)軟件，修補(bǔ)安全漏洞；
• 監(jiān)控SQL Server進(jìn)程是否存在異常PowerShell行為；
• 加強(qiáng)SQL注入攻擊防護(hù)機(jī)制；
• 定期審計(jì)IIS模塊及服務(wù)器管理員賬戶，排查非法變更。