iGamingNews – новости iGaming

Хакеры GhostRedirector атакуют Windows-серверы через IIS и SEO-фрод

Хакеры GhostRedirector атакуют Windows-серверы через IIS и SEO-фрод

Исследователи «ESET» обнаружили предположительно китайскую кибергруппировку «GhostRedirector», которая с августа 2024 г. взломала 65 Windows-серверов с IIS для манипуляции поисковой выдачей «Google» в пользу iGaming-сайтов.

Основные цели атак находятся в Бразилии, Вьетнаме и Таиланде.

Кто такие GhostRedirector

По данным ESET, GhostRedirector — это новая группировка, обнаружили в конце 2024 года. С высокой вероятностью она связана с Китаем.

В атаках использовались кастомные инструменты и эксплойты для повышения привилегий, а также внедрение модулей в IIS (Internet Information Services).

Признаки китайского происхождения

  • В коде инструментов зафиксированы китайские строки.
  • Применялся сертификат, выданный китайской компании.
  • В паролях учетных записей встречалось слово «huang» (по-китайски «желтый»).

Основные инструменты группировки

Бэкдор Rungan

Rungan — это пассивный C++ бэкдор, способный выполнять команды на заражённом сервере. Его основная задача — обеспечить устойчивый доступ и управление системой.

Модуль Gamshen

Gamshen внедряется в IIS как нативный модуль. Его цель — SEO-фрод: он изменяет ответы сервера только для Googlebot, добавляя ссылки на онлайн-казино и другие азартные сайты. Для обычных пользователей страницы выглядят без изменений.

Это решение позволяет скрытно продвигать сайты в поиске, но наносит ущерб репутации взломанных серверов, связывая их с теневыми SEO-схемами.

Методы атаки

Первичный доступ

Аналитики ESET считают, что GhostRedirector получает доступ через SQL-инъекции. После этого загружаются вредоносные файлы с командного сервера с помощью PowerShell или утилиты CertUtil.

Эскалация привилегий

Для повышения прав использовались эксплойты BadPotato и EfsPotato. С их помощью злоумышленники создавали скрытые учетные записи с правами администратора, что позволяло устанавливать дополнительное ПО и сохранять доступ даже при удалении бэкдора.

Инструменты атаки

Инструмент Назначение
Rungan Выполнение команд на сервере, скрытый доступ
Gamshen SEO-фрод, продвижение гемблинг-сайтов
BadPotato / EfsPotato Эскалация привилегий, создание учетных записей
GoToHTTP Удаленное подключение к серверу через браузер

География атак

На июнь 2025 года ESET зафиксировала не менее 65 заражённых серверов. Основные жертвы расположены в:

  • Бразилии,
  • Вьетнаме,
  • Таиланде,
  • Перу,
  • США.

Также были единичные случаи в Канаде, Индии, Финляндии, Нидерландах, на Филиппинах и в Сингапуре.

Пострадавшие организации относятся к разным секторам: страхование, медицина, транспорт, образование, розница и технологии.

Последствия атак

Хотя пользователи сайтов напрямую не заражались, компрометация серверов вела к:

  • ухудшению репутации организаций;
  • снижению доверия поисковых систем;
  • использованию серверов в серых схемах SEO;
  • риску потери контроля над системами.

Выводы

GhostRedirector применяет комбинацию бэкдоров, эксплойтов и модулей IIS для продвижения iGaming-сайтов.

По мнению экспертов, атаки носили массовый характер и были направлены на серверы с уязвимым ПО.

Microsoft предупреждает, что вредоносные модули IIS крайне сложно выявить, так как они работают на уровне сервера с высокими правами.