Хакеры взломали серверы Windows для продвижения в Google нелегальных сайтов для ставок {sportclan}

Злоумышленники взломали серверы Windows по всему миру, чтобы манипулировать результатами поиска Google и продвигать нелегальные сайты азартных игр. По информации разработчика антивирусов ESET, за атаками стоит новая группировка GhostRedirector, которая действует как минимум с декабря 2024 года и может быть связана с Китаем.

Хакеры взломали как минимум 65 серверов Windows в Латинской Америке, Юго-Восточной Азии и США. 

Пострадали компании из разных сфер деятельности: от образования до транспорта. Это означает, что атака не была нацелена на какую-то конкретную отрасль.

Киберпреступники воспользовались уязвимостью в базе данных и через PowerShell (встроенную в Windows программу для администрирования) установили вредоносные программы. Эксперты по кибербезопасности обнаружили два ранее неизвестных инструмента:

• Rungan — действует как бэкдор, предоставляя постоянный удаленный доступ к взломанному серверу;
• Gamshen — троянский модуль для перехвата и изменения ответов на запросы Googlebot, официального поискового робота Google. Модуль внедряет скрытый SEO-контент, продвигая нелегальные сайты азартных игр.

В ESET отметили, что использованный киберпреступниками метод сложно обнаружить. Поскольку никакого влияния на работу обычных пользователей не оказывается, администраторы сайтов могут долгое время не замечать вторжения, пока не столкнутся с аномальным падением SEO-рейтинга. 

Сайты, которые продвигает GhostRedirector, работают из офшорных юрисдикций, максимально непрозрачны и не регулируются. Таким образом, атака наносит серьезный ущерб легальному сектору азартных игр.

Разработчики антивирусного ПО рекомендуют владельцам сайтов усилить мониторинг серверов IIS и сетевого трафика, а также оперативно устранять выявленные уязвимости в приложении.