Egyedi vírusokkal manipulálják a keresőket
A GhostRedirector olyan saját fejlesztésű eszközöket használ, mint a Rungan – egy C++ nyelven írt rejtett hátsó ajtó –, valamint a Gamshen, amely egy IIS-trójai, kifejezetten a Google keresési találatok manipulálására készült. A megfertőzött szervereken a megtámadott oldal speciális, kizárólag a Googlebot számára készült verzióban jelenik meg, tele hamis hivatkozásokkal szerencsejáték-oldalakra, így a keresőmotor megbízhatónak értékeli ezeket az oldalakat.
Dél-Amerika és Dél-Ázsia a célkeresztben
Bár a legtöbb fertőzött szerver Brazíliában, Peruban, Thaiföldön, Vietnámban és az Egyesült Államokban található, a támadók elsősorban dél-amerikai és dél-ázsiai célpontokat szemeltek ki. A kiválasztás nem tematikus: oktatási, egészségügyi, biztosítási, szállítási, technológiai és kereskedelmi szervezetek egyaránt áldozatul estek.
Módszerek és eszköztár
A támadássorozat általában SQL injection sebezhetőségek kihasználásával kezdődik, ezt követően PowerShell segítségével Windows jogosultságnövelő eszközöket és további kártevőket, például a Rungan és Gamshen programokat telepítik, mindent ugyanazon a szerveren (868id[.]com) keresztül. A támadók által használt jogosultságnövelő eszközök elsősorban az EfsPotato és BadPotato sebezhetőségekre épülnek – ezek igen népszerűek a kínai nyelvű hekkerek körében. Egyes kártevők hiteles kódaláírási tanúsítványt is kaptak, amelyet a TrustAsia adott ki egy kínai vállalat számára.
A támadók saját rendszergazdai fiókot is létrehoznak vagy módosítanak a szerveren, így hosszú távú hozzáférést biztosítanak maguknak. Egy másik, Comdai nevű eszközük lehetővé teszi a hálózati kommunikációt, új adminisztrátori fiók létrehozását, fájlok futtatását, könyvtárak listázását és rendszerleíró kulcsok módosítását.
Automatizált SEO-csalás szolgáltatásként
Végül a Rungan és a Gamshen kártékony programokat is telepítik: ezek a hátsó ajtón keresztül vezérlik a szervert, illetve automatizált SEO-csalást hajtanak végre. A Gamshen a Googlebot számára dinamikusan módosított tartalmat szolgál ki, így manipulálva – akár fizetős – harmadik fél weboldalának rangsorolását hamis, mesterségesen létrehozott visszahivatkozások révén.
