GhostRedirector kompromittiert 65 Windows-Server für SEO-Manipulation : Unbekannte Bedrohungsgruppe missbraucht kompromittierte Server für SEO-Betrug
Ein neu identifizierter Bedrohungsakteur sorgt für Aufsehen: Unter dem Namen GhostRedirector haben Angreifer mindestens 65 Windows-Server kompromittiert. Dabei setzen sie eine passive Backdoor namens Rungan sowie das bösartige Internet Information Services (IIS) Modul Gamshen ein, um kompromittierte Systeme für Suchmaschinenmanipulation auszunutzen.
Nach Erkenntnissen der slowakischen Sicherheitsfirma ESET sind die Aktivitäten von GhostRedirector seit mindestens August 2024 im Gange. Die Angreifer verschaffen sich zunächst Zugang über Sicherheitslücken in Webanwendungen. Im Fokus steht dabei eine Schwachstelle, die sehr wahrscheinlich auf SQL-Injection zurückzuführen ist.
Bei einer solchen Schwachstelle können Angreifer gezielt Datenbankabfragen manipulieren, um unautorisierte Befehle auszuführen. Sobald ein System kompromittiert ist, laden die Angreifer zusätzliche Werkzeuge nach. Dafür setzen sie PowerShell-Skripte ein, die weitere Schadprogramme von einem Staging-Server mit der Adresse 868id[.]com abrufen.
Bemerkenswert ist, dass viele dieser PowerShell-Befehle vom Prozess sqlserver.exe ausgeführt werden. Dies deutet darauf hin, dass die Angreifer die Stored Procedure xp_cmdshell verwenden. Mit ihr lassen sich Systembefehle direkt aus der Datenbankumgebung heraus starten – ein gefährlicher Mechanismus, wenn er in falsche Hände gerät.
Zwei Kernmodule: Rungan und Gamshen
Den Kern der Kampagne bilden zwei Schadprogramme, die zusammenarbeiten und unterschiedliche Aufgaben übernehmen.
- Rungan: Diese Backdoor ist in C++ geschrieben und verhält sich passiv. Sie wartet auf Anfragen, die einem bestimmten Muster entsprechen, etwa einer URL wie https://+:80/v1.0/8888/sys.html. Sobald ein passender Aufruf eingeht, analysiert Rungan die darin eingebetteten Befehle und führt sie aus. Unterstützt werden unter anderem die folgenden Funktionen:
- mkuser: Anlage eines neuen Benutzerkontos mit den übermittelten Zugangsdaten
• listfolder: Auflisten von Verzeichnissen und Dateien (noch nicht vollständig implementiert)
• addurl: Registrierung zusätzlicher URLs, über die die Backdoor erreichbar ist
• cmd: Ausführung beliebiger Befehle über Windows-Pipes und die CreateProcessA-API
- mkuser: Anlage eines neuen Benutzerkontos mit den übermittelten Zugangsdaten
- Gamshen: Dieses Modul wird direkt in den Microsoft-IIS-Webserver eingebunden. Es ist ein Beispiel für eine immer häufiger auftretende Klasse von Schadsoftware, die speziell auf IIS-Systeme abzielt. Gamshen dient in erster Linie der Manipulation von Suchmaschinen-Ergebnissen. Es verändert die Antworten des Servers allerdings nur dann, wenn die Anfrage vom Googlebot stammt – dem Crawler, den Google für das Indexieren von Webseiten nutzt. Normale Besucher einer infizierten Seite bekommen keine veränderten Inhalte zu sehen. Damit soll die Manipulation möglichst lange unentdeckt bleiben.
Das Ziel ist klar: Durch die Einbindung von Links zu bestimmten Webseiten wird deren Ranking in den Suchmaschinen künstlich verbessert. Die Betreiber der kompromittierten Server laufen dadurch Gefahr, mit zweifelhaften Methoden in Verbindung gebracht zu werden – ein Risiko für ihre Reputation.
Internationale Opfer
Auch wenn die meisten kompromittierten Systeme in Brasilien, Thailand und Vietnam stehen, sind die Angriffe keineswegs auf diese Länder beschränkt. Weitere Opfer wurden in Peru, den Vereinigten Staaten von Amerika, Kanada, Finnland, Indien, den Niederlanden, den Philippinen und Singapur identifiziert.
Die Angriffe erfolgen branchenübergreifend. Zu den betroffenen Bereichen gehören unter anderem:
- Bildungswesen
- Gesundheitssektor
- Versicherungsunternehmen
- Transport- und Logistikunternehmen
- Technologieanbieter
- Einzelhandelsunternehmen
Die Auswahl der Ziele wirkt eher opportunistisch als strategisch. Entscheidend ist offenbar vor allem, dass die Systeme verwundbar sind und sich für den Missbrauch im Rahmen der SEO-Betrugsmasche eignen.
Arsenal weiterer Werkzeuge
Neben Rungan und Gamshen setzen die Angreifer zusätzliche Tools ein, um ihre Position in den kompromittierten Netzwerken abzusichern und auszubauen. Dazu gehören:
- GoToHTTP – ein Werkzeug, das es ermöglicht, über den Webbrowser eine Fernverbindung zu den infizierten Servern aufzubauen.
- BadPotato und EfsPotato – bekannte Exploits, die verwendet werden, um privilegierte Benutzerkonten mit Administratorrechten zu erstellen.
- Zunput – ein Tool, das Informationen über auf dem Server gehostete Webseiten sammelt und darüber hinaus Webshells in ASP, PHP und JavaScript ablegt.
Mit dieser Kombination können die Angreifer nicht nur dauerhaft auf den Servern präsent bleiben, sondern auch flexibel auf neue Situationen reagieren – sei es, um weitere Schadsoftware nachzuladen oder um kompromittierte Systeme für neue Zwecke zu missbrauchen.
Verdacht: Verbindung nach China
Die Sicherheitsforscher gehen davon aus, dass GhostRedirector aus dem chinesischen Umfeld stammt. Für diese Einschätzung sprechen mehrere Indizien:
- Im Quellcode finden sich chinesische Sprachfragmente.
- Für die Signatur von Privilegieneskalations-Tools wurde ein Zertifikat genutzt, das auf die chinesische Firma Shenzhen Diyuan Technology Co., Ltd. ausgestellt ist.
- Bei einem der angelegten Benutzerkonten verwendeten die Angreifer das Passwort „huang“, ein chinesischer Name.
Solche Hinweise sind zwar kein endgültiger Beweis, stützen aber die These, dass GhostRedirector zu einer wachsenden Zahl chinesischer Gruppen gehört, die gezielt auf SEO-Betrug als Geschäftsmodell setzen. Tatsächlich ist GhostRedirector nicht die erste Hackergruppe mit Verbindung nach China, die manipulierte IIS-Module für SEO-Betrug nutzt. Schon im vergangenen Jahr berichteten Cisco Talos und Trend Micro über eine chinesischsprachige Gruppe namens DragonRank. Diese setzte die Schadsoftware BadIIS ein, um Suchmaschinen gezielt zu manipulieren.
„Gamshen nutzt das Vertrauen in die eigentlich seriösen Webseiten auf dem kompromittierten Server aus, um eine Glücksspielseite bekannt zu machen – vermutlich im Auftrag eines zahlenden Kunden, der Teil eines Geschäftsmodells für SEO-Betrug als Dienstleistung ist“, so die Forscher.
Einordnung und Ausblick
Der Fall GhostRedirector verdeutlicht eine gefährliche Entwicklung: Angreifer missbrauchen kompromittierte Server nicht nur, um Daten zu stehlen oder Systeme zu sabotieren, sondern auch, um damit illegale Geschäftsmodelle zu betreiben. SEO-Betrug als Dienstleistung könnte sich als lukrativer Markt etablieren – zum Schaden der betroffenen Unternehmen, die ungewollt als Sprungbrett für fragwürdige Webseiten dienen.
Die Manipulation von IIS-Modulen ist besonders heimtückisch. Bereits im August 2021 hatte ESET eine IIS-spezifische Malware namens IISerpent öffentlich gemacht, die ähnlich wie GhostRedirector arbeitet. Auch sie fing die Anfragen von Suchmaschinen wie Google ab, die die betroffene Webseite durchsuchen, und veränderte die Antworten des Servers. Auch hier wurden die Suchmaschinen gezielt auf betrügerische Seiten umgeleitet, die der Angreifer bestimmt.
Microsoft selbst warnte bereits im Jahr 2022, dass bösartige IIS-Erweiterungen schwer zu entdecken seien. Sie befinden sich meist in denselben Verzeichnissen wie legitime Module und sind ähnlich aufgebaut. Dadurch fallen sie bei oberflächlichen Kontrollen kaum auf.
Für Unternehmen bedeutet das: klassische Abwehrmaßnahmen reichen nicht mehr aus. Notwendig sind tiefgehende Analysen der Serverumgebung, ein striktes Patch-Management, kontinuierliche Überwachung von ungewöhnlichen PowerShell-Aktivitäten sowie der Einsatz spezialisierter Erkennungstools, die Manipulationen an Webservermodulen aufspüren können.
GhostRedirector zeigt eindrücklich, wie breit das Spektrum der Cyberkriminalität geworden ist – vom klassischen Datendiebstahl über Ransomware bis hin zu betrügerischen Geschäftsmodellen, die sich hinter vermeintlich harmlosen SEO-Techniken verbergen. Wer glaubt, dass eine manipulierte Suchmaschinenplatzierung nur ein Ärgernis sei, verkennt die Tragweite: Am Ende steht die Integrität der eigenen Infrastruktur auf dem Spiel.