CyberThao
Writer
Các nhà nghiên cứu an ninh mạng vừa cảnh báo về một nhóm tin tặc mới được gọi là GhostRedirector, đã xâm nhập ít nhất 65 máy chủ Windows tại Brazil, Thái Lan, Việt Nam và nhiều quốc gia khác.
Theo công ty an ninh mạng ESET, nhóm này triển khai Rungan, một backdoor thụ động viết bằng C++, cùng với Gamshen, một mô-đun gốc của dịch vụ IIS (Internet Information Services). GhostRedirector được cho là đã hoạt động từ tháng 8/2024.
Nhà nghiên cứu Fernando Tavella của ESET cho biết: “Rungan có khả năng thực thi lệnh trên máy chủ bị xâm nhập, trong khi Gamshen được thiết kế để phục vụ gian lận SEO, thao túng kết quả tìm kiếm nhằm tăng hạng cho trang web mục tiêu”.
Gamshen chỉ can thiệp phản hồi với Googlebot, không ảnh hưởng trực tiếp đến người dùng truy cập bình thường. Tuy nhiên, việc lợi dụng trang web hợp pháp để tăng thứ hạng SEO sẽ làm tổn hại uy tín của các tổ chức sở hữu server.
Các máy chủ bị nhắm đến nằm trong nhiều lĩnh vực như giáo dục, y tế, bảo hiểm, vận tải, công nghệ và bán lẻ. Ngoài Brazil, Thái Lan, Việt Nam, các quốc gia khác bị ảnh hưởng gồm Peru, Mỹ, Canada, Phần Lan, Ấn Độ, Hà Lan, Philippines và Singapore.
Ban đầu, tin tặc khai thác lỗ hổng SQL injection, sau đó dùng PowerShell để tải công cụ từ server trung gian “868id[.]com”. Hầu hết các lệnh trái phép xuất phát từ tệp sqlserver.exe với quy trình xp_cmdshell, cho phép thực thi lệnh trên máy chủ.
Rungan backdoor sẽ chờ yêu cầu đến từ URL định sẵn (ví dụ: “https://+:80/v1.0/8888/sys.html”) rồi phân tích lệnh nhúng. Nó hỗ trợ các chức năng như:
Ngoài Rungan và Gamshen, GhostRedirector còn triển khai nhiều công cụ khác:
Tuy nhiên, đây không phải nhóm đầu tiên từ Trung Quốc dùng IIS malware cho SEO gian lận. Trước đó, DragonRank cũng đã bị Cisco Talos và Trend Micro phân tích với phần mềm độc hại BadIIS.
ESET nhận định: “Gamshen lợi dụng danh tiếng website hợp pháp để quảng bá trang cờ bạc của bên thứ ba, có khả năng là khách hàng trả phí trong chương trình SEO mờ ám”. Nhóm này còn tạo nhiều công cụ truy cập từ xa và tài khoản giả để duy trì quyền kiểm soát lâu dài trên server bị hack.
Đọc chi tiết tại đây: https://thehackernews.com/2025/09/ghostredirector-hacks-65-windows.html
Theo công ty an ninh mạng ESET, nhóm này triển khai Rungan, một backdoor thụ động viết bằng C++, cùng với Gamshen, một mô-đun gốc của dịch vụ IIS (Internet Information Services). GhostRedirector được cho là đã hoạt động từ tháng 8/2024.
Nhà nghiên cứu Fernando Tavella của ESET cho biết: “Rungan có khả năng thực thi lệnh trên máy chủ bị xâm nhập, trong khi Gamshen được thiết kế để phục vụ gian lận SEO, thao túng kết quả tìm kiếm nhằm tăng hạng cho trang web mục tiêu”.
GhostRedirector và cách thức tấn công
Gamshen chỉ can thiệp phản hồi với Googlebot, không ảnh hưởng trực tiếp đến người dùng truy cập bình thường. Tuy nhiên, việc lợi dụng trang web hợp pháp để tăng thứ hạng SEO sẽ làm tổn hại uy tín của các tổ chức sở hữu server.
Các máy chủ bị nhắm đến nằm trong nhiều lĩnh vực như giáo dục, y tế, bảo hiểm, vận tải, công nghệ và bán lẻ. Ngoài Brazil, Thái Lan, Việt Nam, các quốc gia khác bị ảnh hưởng gồm Peru, Mỹ, Canada, Phần Lan, Ấn Độ, Hà Lan, Philippines và Singapore.
Ban đầu, tin tặc khai thác lỗ hổng SQL injection, sau đó dùng PowerShell để tải công cụ từ server trung gian “868id[.]com”. Hầu hết các lệnh trái phép xuất phát từ tệp sqlserver.exe với quy trình xp_cmdshell, cho phép thực thi lệnh trên máy chủ.
Rungan backdoor sẽ chờ yêu cầu đến từ URL định sẵn (ví dụ: “https://+:80/v1.0/8888/sys.html”) rồi phân tích lệnh nhúng. Nó hỗ trợ các chức năng như:
- mkuser: tạo user mới với tên và mật khẩu tùy chọn.
- listfolder: thu thập thông tin thư mục (chưa hoàn thiện).
- addurl: thêm URL mới để lắng nghe lệnh.
- cmd: chạy lệnh trên server bằng API CreateProcessA.
Công cụ hỗ trợ và dấu vết Trung Quốc
Ngoài Rungan và Gamshen, GhostRedirector còn triển khai nhiều công cụ khác:
- GoToHTTP: kết nối từ xa qua trình duyệt.
- BadPotato / EfsPotato: tạo user quản trị viên.
- Zunput: thu thập thông tin web IIS, xóa shell ASP/PHP/JS.
Tuy nhiên, đây không phải nhóm đầu tiên từ Trung Quốc dùng IIS malware cho SEO gian lận. Trước đó, DragonRank cũng đã bị Cisco Talos và Trend Micro phân tích với phần mềm độc hại BadIIS.
ESET nhận định: “Gamshen lợi dụng danh tiếng website hợp pháp để quảng bá trang cờ bạc của bên thứ ba, có khả năng là khách hàng trả phí trong chương trình SEO mờ ám”. Nhóm này còn tạo nhiều công cụ truy cập từ xa và tài khoản giả để duy trì quyền kiểm soát lâu dài trên server bị hack.
Đọc chi tiết tại đây: https://thehackernews.com/2025/09/ghostredirector-hacks-65-windows.html
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview