關閉選單
  1. Home
  2. NEWS最新消息
  3. 訊息與報導
  4. 資訊安全
顯示分類
2025.09.05
訊息與報導/資訊安全
GhostRedirector入侵 65 台 Windows 伺服器
報導摘要

根據資安公司ESET的最新報告,一個代號為「GhostRedirector」的未被記載的威脅群集,自2024年8月以來已成功入侵全球至少65台Windows伺服器,主要受害國位於巴西、泰國和越南。該駭客組織的攻擊目標廣泛,橫跨教育、醫療、保險、交通和零售等多個產業。其攻擊手法獨特,透過部署兩種客製化的惡意程式:「Rungan」後門程式和「Gamshen」IIS模組,不僅能遠端執行指令,更令人驚訝的是,Gamshen模組被設計來提供「SEO詐騙即服務」(SEO fraud as-a-service),藉由操縱受害網站的搜尋引擎結果,來提升第三方網站的排名。ESET的研究員根據程式碼中的硬編碼中文字串和一個簽發給中國公司的程式碼簽章憑證,判斷該威脅組織與中國駭客有關。這份報告揭示了網路攻擊正在從傳統的數據竊取,擴展到更為隱蔽和商業化的非法活動,值得台灣企業高度關注。


「GhostRedirector」威脅解析

「GhostRedirector」這個新的威脅群集之所以引人注目,在於其攻擊手法的高度專業化和雙重目的。不同於單純的資料竊取或勒索軟體攻擊,該組織的目標不僅是控制受害伺服器,更將其變成一個用來進行SEO詐騙的工具。這項服務化(as-a-service)的模式,顯示網路犯罪集團的營運模式正變得越來越複雜和精細。

攻擊的主要目標是運行Microsoft Windows Server作業系統的伺服器,這些伺服器通常作為網站或應用程式的後端。駭客利用未知的初始存取途徑成功入侵伺服器後,會部署其客製化的惡意程式來建立持久性的後門。

ESET的研究員指出,這波攻擊的受害者遍布全球,儘管主要集中在東南亞和南美洲,但包括美國、加拿大、芬蘭、印度、荷蘭、菲律賓和新加坡等國家也受到影響。受害組織的類型多元,從學校、醫院到科技公司和零售商,顯示駭客並非鎖定特定產業,而是以任何可入侵的伺服器為目標。


攻擊手法與後門運作機制

「GhostRedirector」的攻擊流程主要圍繞著兩個核心惡意程式:

1. Rungan後門程式

「Rungan」是一個被動式的C++後門程式。其特性是被動,意味著它不會主動向外部發送訊息,而是在等待攻擊者的指令。當駭客發送特定的指令時,Rungan便會被激活,從而執行遠端命令、上傳或下載檔案。這種被動式的設計讓它能夠在被入侵的伺服器中潛伏更長時間,增加了偵測的難度。

2. Gamshen惡意IIS模組

「Gamshen」是這次攻擊中最具創意的部分。它是一個原生的Internet Information Services(IIS)模組,專門用於伺服器端。IIS是微軟的網頁伺服器軟體,許多Windows伺服器都運行它來託管網站。Gamshen作為一個惡意模組,能夠在IIS內部運作,監視伺服器的所有傳入請求。

Gamshen的主要功能是執行SEO詐騙。其運作方式如下:

  • 偵測GoogleBot:Gamshen模組會特別偵測來自Google搜尋引擎爬蟲(GoogleBot)的請求。

  • 動態篡改內容:一旦確認請求來自GoogleBot,Gamshen就會劫持並修改伺服器回應的內容。它不會影響正常用戶瀏覽網站,因為只有當請求來自GoogleBot時,才會觸發其惡意行為。

  • 創造反向連結:Gamshen會透過在受害網站的頁面中插入隱藏的連結,將流量或權重導向駭客指定的第三方網站。這是一種「黑帽SEO」技術,旨在欺騙Google的演算法,使被推廣的第三方網站排名上升。


持久化與韌性

除了Rungan和Gamshen這兩個主要工具外,「GhostRedirector」駭客組織還展現了驚人的持久性與營運韌性。他們會採取以下措施來確保對受害伺服器的長期控制:

  • 多重後門部署:駭客會在受害伺服器上安裝多個遠端存取工具,即使其中一個被發現或移除,他們仍有備用方案來維持存取權。

  • 創建惡意用戶帳號:他們會利用如EfsPotato和BadPotato等已知的權限提升漏洞,在伺服器上創建具有特權的虛假用戶帳號,作為持續存取的備用管道。


對台灣企業的潛在影響與警示

台灣的許多企業,特別是中小型企業和科技新創,都使用Windows伺服器和IIS來託管其網站或內部應用程式。這使得台灣的企業面臨著與「GhostRedirector」類似攻擊的潛在風險。

  • 網站聲譽受損:如果一個企業的網站被用於SEO詐騙,其在Google搜尋引擎上的聲譽和排名可能會受到嚴重影響,甚至被列入黑名單,導致正常的業務流量急劇下降。

  • 資料外洩風險:儘管Gamshen的主要目的是SEO詐騙,但與Rungan後門的結合,使駭客能夠在不被察覺的情況下,同時進行資料竊取或植入勒索軟體等更具破壞性的攻擊。

  • 供應鏈攻擊的威脅:如果台灣的軟體或服務供應商的伺服器被入侵,駭客可以將惡意代碼植入到客戶的軟體或服務中,造成更大範圍的供應鏈攻擊。


防禦與應對建議

為了有效防範類似「GhostRedirector」的伺服器攻擊,台灣企業應採取以下全面的防禦措施:

  1. 定期修補與更新:確保所有Windows伺服器、IIS以及其上運行的應用程式都已安裝最新的安全補丁。特別注意那些可能被用來進行DLL側載或權限提升的已知漏洞。

  2. 實施端點偵測與回應(EDR):部署EDR解決方案來監控伺服器上的異常行為,例如可疑的DLL加載、非預期的程式執行或登錄檔修改。這有助於在駭客建立持久性之前及時發現並阻斷攻擊。

  3. 加強伺服器日誌監控:對IIS日誌和Windows事件日誌進行持續監控與分析。尋找不尋常的請求模式,例如來自GoogleBot但行為異常的請求,以及可疑的用戶帳號創建或權限變更記錄。

  4. 實施最小權限原則:確保IIS和相關服務在運行時只具備其職責所需的最低權限,並定期審查所有伺服器用戶帳號,特別是具有管理員權限的帳號。

  5. 網路分段(Network Segmentation):將伺服器網路與企業內部辦公網路進行分段,並在伺服器之間實施微切分(microsegmentation)。這能限制駭客一旦成功入侵一台伺服器後的橫向移動能力。

  6. 建立應變計畫:預先建立完整的資安事件應變計畫,明確在發現伺服器被入侵時,如何隔離受影響的系統、進行鑑識分析、根除惡意程式並重建系統。


結論

「GhostRedirector」威脅群集的出現,標誌著網路犯罪分子正利用日益複雜的技術來實現其經濟目的。他們不再滿足於傳統的竊取或破壞,而是將受害的IT資產轉化為其非法牟利的工具。這對全球,特別是對於台灣這類以數位經濟為核心的地區,發出了嚴重的警告。企業必須將伺服器安全視為最高優先事項,透過技術部署與流程管理雙管齊下,才能有效抵禦這些不斷進化的高階威脅,確保業務的永續運營與資訊資產的安全。


資料來源:https://thehackernews.com/2025/09/ghostredirector-hacks-65-windows.html
資安公司ESET揭露一個名為「GhostRedirector」的中國駭客組織,透過「Rungan」後門程式和「Gamshen」惡意IIS模組,入侵全球超過65台Windows伺服器。