IT之家 9 月 7 日消息，網絡安全公司 ESET 的安全研究人員於 9 月 4 日宣布發現了一個代號為 GhostRedirector 的新型黑客組織。

據稱，該組織自 2024 年 12 月起已入侵至少 65 台位於巴西、泰國和越南的 Windows 服務器；該組織不僅長期維持後門訪問，還利用受害服務器操縱穀歌搜索排名。

IT之家從 ESET 獲悉，其攻擊始於 Windows 服務器的 SQL 注入漏洞，黑客通過下載惡意工具包展開滲透。入侵後，他們會部署被稱為“Rungan”的被動式 C++ 後門，該程序通過監聽特定 URL 模式下的 HTTP 請求實現遠程命令執行，避免創建外部連接，從而規避安全警報。

然後，黑客會在服務器中植入了專門針對穀歌爬蟲（Googlebot）的惡意 IIS 模塊，被稱為“Gamshen”。

當穀歌爬蟲爬到被攻陷的服務器網站時，Gamshen 會動態篡改頁麵內容，將指令服務器的數據注入網頁，從而人為提升賭博網站的搜索排名。

同時，普通用戶訪問的時候則顯示正常頁麵，其手法對普通用戶來說幾乎不可察覺。ESET 研究人員指出：“這相當於一種 SEO 欺詐即服務”。

研究人員還強調，該組織使用看似合法的域名和有效的代碼簽名證書來規避檢測。攻擊者使用偽裝域名和有效代碼簽名證書規避檢測。

GhostRedirector 展現出較高的行動隱蔽性和持久性。其維持訪問的手段包括提權漏洞（BadPotato、EfsPotato）、webshell 以及偽造管理員賬號等多層機製，確保即使主要後門被清除仍能持續控製係統。

該組織針對的領域覆蓋醫療、教育、零售、交通等多個行業，顯示出更傾向於機會性攻擊，而非特定行業定向打擊。

麵對這一情況，專家建議及時更新服務器軟件、監控 SQL Server 進程中異常的 PowerShell 執行、強化 SQL 注入防禦，以及定期審計 IIS 模塊和管理員賬戶。