GhostRedirector Tấn Công 65 Máy Chủ Windows Bằng Backdoor Rungan Và Mô-Đun IIS Độc Hại Gamshen

Posted on by admin_1

Các nhà nghiên cứu an ninh mạng vừa phát hiện một cụm mối đe dọa (threat cluster) chưa từng được công bố trước đây, được đặt tên là GhostRedirector, đã xâm nhập thành công ít nhất 65 máy chủ Windows, chủ yếu tại Brazil, Thái Lan và Việt Nam.

Theo công ty an ninh mạng ESET (Slovakia), các cuộc tấn công này dẫn đến việc triển khai backdoor thụ động viết bằng C++ có tên Runganmột mô-đun Internet Information Services (IIS) bản địa hóa, có mật danh Gamshen. Nhóm tấn công này được cho là đã hoạt động ít nhất từ tháng 8/2024.

Cơ chế tấn công và mục đích

  • Rungan: cho phép thực thi lệnh từ xa trên máy chủ bị xâm nhập.

  • Gamshen: mô-đun IIS phục vụ mục đích SEO fraud-as-a-service – gian lận SEO nhằm thao túng kết quả tìm kiếm Google để nâng hạng cho các website mục tiêu.

ESET cho biết, Gamshen chỉ thay đổi phản hồi HTTP khi truy vấn đến từ Googlebot, không trực tiếp phát tán mã độc tới người dùng thông thường. Tuy nhiên, việc tham gia vào hệ sinh thái SEO gian lận có thể gây tổn hại nghiêm trọng tới uy tín của website bị xâm nhập, khi bị liên kết với các kỹ thuật SEO mờ ám và website lừa đảo.

Ngoài ba quốc gia trọng điểm, các nạn nhân còn được ghi nhận tại Peru, Mỹ, Canada, Phần Lan, Ấn Độ, Hà Lan, Philippines và Singapore, với nạn nhân trải rộng trên nhiều lĩnh vực: giáo dục, y tế, bảo hiểm, vận tải, công nghệ và bán lẻ.

Vector tấn công ban đầu

GhostRedirector khai thác lỗ hổng SQL injection để xâm nhập mạng mục tiêu, sau đó sử dụng PowerShell tải thêm công cụ từ máy chủ trung gian (868id[.]com).

ESET phát hiện hầu hết các phiên thực thi PowerShell trái phép xuất phát từ tiến trình sqlserver.exe – vốn có stored procedure xp_cmdshell, cho phép chạy lệnh trực tiếp trên hệ thống.

Hoạt động của Rungan

Backdoor Rungan lắng nghe yêu cầu từ URL định sẵn (ví dụ: https://+:80/v1.0/8888/sys.html) rồi phân tích và thực thi lệnh bên trong. Nó hỗ trợ 4 lệnh chính:

  • mkuser: tạo tài khoản người dùng trên máy chủ với thông tin chỉ định.

  • listfolder: thu thập thông tin thư mục (chưa hoàn thiện).

  • addurl: đăng ký URL mới để backdoor có thể lắng nghe.

  • cmd: thực thi lệnh hệ thống thông qua pipe và API CreateProcessA.

Mối đe dọa từ Gamshen và IIS malware

Gamshen được viết bằng C/C++, thuộc dòng malware IIS “Group 13”, vừa có khả năng backdoor, vừa phục vụ gian lận SEO – tương tự như IISerpent (một biến thể từng được ESET công bố năm 2021).

Các mô-đun IIS độc hại được Microsoft cảnh báo từ tháng 7/2022: chúng ẩn náu cùng thư mục và cấu trúc mã của mô-đun hợp pháp, khiến việc phát hiện trở nên khó khăn hơn.

GhostRedirector sử dụng Gamshen để tạo backlink nhân tạo từ website hợp pháp bị xâm nhập tới website mục tiêu (chủ yếu là trang đánh bạc), qua đó nâng thứ hạng tìm kiếm của chúng trên Google.

Các công cụ bổ trợ khác

Ngoài Rungan và Gamshen, GhostRedirector còn triển khai thêm nhiều công cụ để duy trì quyền kiểm soát:

  • GoToHTTP: thiết lập kết nối từ xa qua trình duyệt web.

  • BadPotato / EfsPotato: leo thang đặc quyền, tạo tài khoản quản trị.

  • Zunput: thu thập thông tin website trên IIS server, đồng thời cài web shell ASP, PHP, JavaScript.

Quy kết mối đe dọa

Dựa trên chuỗi mã tiếng Trung, chứng thư số (code-signing certificate) cấp cho công ty Trung Quốc Shenzhen Diyuan Technology Co., Ltd., và việc sử dụng mật khẩu “huang” cho tài khoản được tạo trái phép, ESET đánh giá với mức medium confidence rằng GhostRedirector có liên quan đến một nhóm tấn công Trung Quốc.

Đây không phải lần đầu các nhóm tin tặc Trung Quốc khai thác mô-đun IIS cho SEO fraud. Trước đó, Cisco Talos và Trend Micro đã ghi nhận hoạt động tương tự từ nhóm DragonRank với biến thể BadIIS.

Nhận định chuyên gia

Theo ESET, GhostRedirector thể hiện khả năng duy trì tính bền vững và ẩn mình lâu dài thông qua việc triển khai nhiều công cụ truy cập từ xa, tạo tài khoản người dùng trái phép và mô-đun IIS độc hại.

Điều này cho thấy chiến dịch không chỉ dừng lại ở gian lận SEO, mà còn mở ra nguy cơ xâm nhập kéo dài, đánh cắp dữ liệu hoặc tấn công leo thang từ hạ tầng bị chiếm quyền.

Với tư cách doanh nghiệp, tổ chức cần:

  • Kiểm tra bảo mật định kỳ các máy chủ IIS và SQL.

  • Giám sát hoạt động PowerShell bất thường.

  • Thực thi cơ chế Least Privilege để giảm nguy cơ leo thang đặc quyền.

  • Ứng dụng WAF và cơ chế phát hiện SQL injection nhằm giảm thiểu nguy cơ khai thác ban đầu.

Post Relate

Tin tức

Kỷ Nguyên Mật Khẩu Truyền Thống Sắp Kết Thúc
24 Tháng 9, 2025

Tin tức

ChatGPT Có Thể Vượt CAPTCHA Để Xác Nhận Chúng Không Phải Rô-Bốt
23 Tháng 9, 2025

Tin tức

Sự Kìm Kẹp Của Ransomware: Vì Sao Nạn Nhân Trả Tiền Và Cách Thức Ứng Phó
22 Tháng 9, 2025

Tin tức

Mã Độc Linux Phân Phối Qua Tên Tệp RAR Độc Hại Không Bị Phát Hiện Bởi Phần Mềm Diệt Virus
19 Tháng 9, 2025

Tin tức

224 Ứng Dụng Độc Hại Bị Gỡ Bỏ Khỏi Google Play Store Sau Khi Phát Hiện Chiến Dịch Gian Lận Quảng Cáo
18 Tháng 9, 2025

Tin tức

Grok, ChatGPT, Và Các Nền Tảng AI Khác Sẵn Sàng Hỗ Trợ Chống Lại Các Chiến Dịch Lừa Đảo
17 Tháng 9, 2025

Chúng tôi, các chuyên gia về cyber security luôn sẵn sàng đồng hành cùng doanh nghiệp bạn

Chúng tôi tập trung vào các giải pháp Chống mã độc, đặc biệt là dòng mã độc mã hóa dữ liệu tống tiền và giải pháp Chống thất thoát dữ liệu (DLP).

Liên hệ ngay