9月7日最新消息，知名網絡安全公司ESET的研究團隊于9月4日披露，發(fā)現一個名為“GhostRedirector”的新型黑客組織。該組織自2024年12月以來，已成功入侵至少65臺位于巴西、泰國和越南的Windows服務器，不僅長期控制受害服務器，更涉嫌操縱Google搜索排名，屬于高隱蔽性SEO欺詐攻擊。

據ESET報告，GhostRedirector的攻擊首先利用Windows服務器的SQL注入漏洞，通過惡意工具包實施滲透。成功入侵后，黑客部署了一款名為“Rungan”的C++被動后門程序。該后門通過監(jiān)聽特定HTTP請求執(zhí)行遠程指令，避免發(fā)起外聯，有效繞過常見安全檢測機制。

更值得關注的是，攻擊者還植入了專門針對谷歌爬蟲（Googlebot）的惡意IIS模塊——“Gamshen”。當谷歌爬蟲訪問被黑站點時，Gamshen會動態(tài)注入惡意內容，尤其是賭博網站相關數據，從而人為操縱搜索結果排序。而普通用戶訪問時網站顯示正常，使得該攻擊難以被察覺。ESET將這一類攻擊稱為“SEO欺詐即服務”（SEO Fraud-as-a-Service）。

此外，GhostRedirector使用仿冒合法域名和有效的代碼簽名證書以規(guī)避安全檢測，表現出較強的反偵察能力。該組織還通過多種持久化手段維持訪問權限，包括提權漏洞（如BadPotato和EfsPotato）、Webshell以及偽造管理員賬戶等，能夠在主要后門被清除后仍控制受害系統(tǒng)。

受害領域涵蓋醫(yī)療、教育、零售、交通等多個行業(yè)，表明攻擊更多出于機會主義而非針對特定部門。

面對這類威脅，ESET建議企業(yè)采取以下安全措施：

• 及時更新服務器及相關軟件，修補安全漏洞；
• 監(jiān)控SQL Server進程是否存在異常PowerShell行為；
• 加強SQL注入攻擊防護機制；
• 定期審計IIS模塊及服務器管理員賬戶，排查非法變更。