ESET研究者が、GhostRedirectorと名付けられた中国系サイバー犯罪グループによる新たな攻撃を発見した。
このグループは世界中の少なくとも65台のWindowsサーバーを侵害し、6月のインターネットスキャンで確認された。感染は12月に始まったが、関連マルウェアサンプルから同グループは2024年8月から活動していることが判明している。
攻撃者はRunganとGamshenという2つの未知のマルウェアを含むカスタムツールを使用する。RunganはパッシブC++バックドア、GamshenはIISトロイの木馬でGoogle検索結果を操作してSEO詐欺を実行する。
被害サーバーはGooglebotに対して特定のギャンブルサイトのランキング向上に役立つWebページを表示し、偽のバックリンクを作成して検索エンジンを欺く。
感染サーバーの大部分はブラジル、ペルー、タイ、ベトナム、米国に位置し、被害組織は教育、医療、保険、交通、テクノロジー、小売分野にわたる。
攻撃者はSQLインジェクションバグを悪用して初期アクセスを獲得し、PowerShellを使用してEfsPotatoとBadPotatoエクスプロイトベースの権限昇格ツールを868id[.]comサーバーからダウンロードする。
一部サンプルはTrustAsia RSA Code Signing CA G3からShenzhen Diyuan Technologyに発行されたコード署名証明書で署名されていた。
From: 
New China-aligned crew poisons Windows servers for …
【編集部解説】
今回のGhostRedirector攻撃は、サイバー犯罪の新たな収益モデルを示しています。従来のランサムウェアや情報窃取と異なり、検索エンジンの信頼性を悪用して間接的に金銭的利益を得る手法は、デジタル経済の根幹を揺るがす脅威として注目されています。
特に興味深いのは、攻撃者が「SEO詐欺のサービス化」を実現している点です。Gamshenマルウェアは、正規の訪問者には何も影響を与えず、Googlebotのみに偽の情報を提供することで、ギャンブルサイトの検索ランキングを不正に向上させています。これは極めて巧妙で、被害に気づきにくい攻撃手法といえるでしょう。
攻撃の技術的背景には、中国系ハッカーグループが好んで使用するPotatoファミリーの権限昇格ツールがあります。EfsPotatoやBadPotatoといったツールは、JuicyPotatoの進化系として知られ、WindowsのCOM(Component Object Model)の脆弱性を悪用してシステム権限を奪取します。これらのツールが公開されているからこそ、様々な攻撃グループが活用できる現状があります。
地理的分析を見ると、被害は南米(ブラジル、ペルー)と東南アジア(タイ、ベトナム)に集中しており、これは中国系攻撃グループが「一帯一路」政策に沿った地域を狙っている可能性を示唆します。また、被害組織が特定の業界に限定されていない点も、無差別的な攻撃の特徴を物語っています。
この攻撃が与える長期的な影響は深刻です。検索エンジンの信頼性が損なわれると、情報の民主化というインターネットの根本価値が脅かされます。特に、正規サイトが知らぬ間にSEO詐欺に加担させられることで、そのサイトの評判とSEOランキングが長期的に悪化する可能性があります。
技術的対策としては、IISモジュールの監視強化と、Googlebotへの異なる応答を検知する仕組みが重要になります。また、組織はSQLインジェクション対策の徹底と、権限昇格を防ぐWindowsセキュリティ設定の見直しが急務です。
規制面では、検索エンジン操作を明確に禁止する法的枠組みの整備が求められています。現在のサイバー犯罪法は直接的な被害を想定しており、このような間接的な経済活動への介入は法的グレーゾーンとなっているのが現状です。
【用語解説】
GhostRedirector:2024年8月以降に活動が確認された中国系サイバー犯罪グループの名称。65台のWindowsサーバーを侵害し、SEO詐欺を目的とした攻撃を実行している。
Rungan:GhostRedirectorが使用するパッシブC++バックドア。侵害されたサーバーで遠隔コマンドを実行する機能を持つ。
Gamshen:同グループが開発した悪意のあるIISモジュール。Googlebotに対してのみ偽の応答を返すことで、ギャンブルサイトの検索ランキングを不正に向上させる。
Potatoファミリーエクスプロイト:Windows環境での権限昇格攻撃に使用されるツール群。EfsPotato、BadPotatoなどが含まれ、中国系ハッカーが好んで使用することで知られる。
SQLインジェクション:Webアプリケーションの脆弱性を悪用して、データベースに不正なSQL文を実行させる攻撃手法。初期侵入の手段として使われることが多い。
SEO詐欺:検索エンジンのランキングアルゴリズムを欺くために、人工的なバックリンクやキーワード詰め込みなどの不正な手法を使用すること。
C&Cサーバー:Command & Control サーバーの略。マルウェアが感染端末を制御するために通信を行う攻撃者が管理するサーバー。
Webシェル:Webサーバー上に設置される悪意のあるスクリプト。攻撃者がリモートからサーバーを操作するためのバックドアとして機能する。
【参考リンク】
ESET公式サイト(外部)
スロバキア発のセキュリティソフトウェア企業。軽快な動作と高い検出率を特徴とし、今回のGhostRedirectorの脅威を発見・分析したセキュリティベンダー
Internet Information Services (IIS) – Microsoft(外部)
マイクロソフトが提供するWindows標準のWebサーバーソフトウェア。今回の攻撃でGamshenマルウェアの標的となったサーバーアプリケーション
TrustAsia Technologies(外部)
中国の認証局で、コード署名証明書を発行。攻撃者がマルウェアの正当性を偽装するために悪用されたShenzhen Diyuan Technologyの証明書を発行
【参考記事】
GhostRedirector poisons Windows servers: Backdoors with a side of potatoes(外部)
ESET研究者による詳細な技術分析レポート。65台のサーバーが感染し、主にブラジル、タイ、ベトナムで被害が確認されたことが詳述
New threat group uses custom tools to hijack search results(外部)
GhostRedirectorの攻撃手法とSEO詐欺の仕組みについて解説。正規の訪問者には影響を与えず、Googlebotにのみ偽の情報を提供する巧妙な手法を分析
GhostRedirector Emerges as New China-Aligned Threat Group(外部)
中国系攻撃グループとしてのGhostRedirectorの特徴と、教育、医療、保険、交通、テクノロジー、小売など幅広い業界への無差別攻撃について報告
GhostRedirector Hacks 65 Windows Servers Using Rungan and Gamshen Malware(外部)
技術的な攻撃手順とマルウェアの機能について詳細に説明。RunganとGamshenの具体的な動作メカニズムとComdaiライブラリの多機能性を解説
【編集部後記】
今回のGhostRedirector攻撃は、私たちが日常的に信頼している「検索」という行為そのものが狙われた事案でした。皆さんの組織では、GooglebotとユーザーのWebページ表示に違いがないか定期的にチェックしていますか?また、SQLインジェクション対策は十分でしょうか?
この攻撃が興味深いのは、直接的な金銭被害ではなく、検索エコシステムの信頼性を悪用した点です。皆さんはこのような「間接的な攻撃」に対して、どのような対策が有効だと思われますか?
