GhostRedirector: Chiến dịch tấn công IIS để “thao túng Google” và phát tán SEO gian lận

[WhiteHat Team]

Một chiến dịch tấn công mạng mới với tên gọi GhostRedirector vừa các chuyên gia phát hiện. Nhóm tin tặc đứng sau đã lén xâm nhập ít nhất 65 máy chủ Windows tại nhiều quốc gia, trong đó có Việt Nam, Brazil và Thái Lan nhằm biến những hệ thống hợp pháp thành công cụ SEO gian lận để “thổi phồng” thứ hạng tìm kiếm cho các website cờ bạc.

​

Nguy hiểm ở chỗ, thay vì phá hoại dữ liệu hay tống tiền, GhostRedirector lại đánh cắp uy tín của chính máy chủ bị nhiễm để phục vụ mục đích kinh doanh ngầm. Điều này không chỉ gây hại cho nạn nhân mà còn ảnh hưởng tới cả người dùng Internet.

Các máy chủ bị ảnh hưởng nằm tại nhiều nước: Việt Nam, Mỹ, Ấn Độ, Canada, Phần Lan, Hà Lan, Philippines… với nạn nhân trải rộng từ giáo dục, y tế, bảo hiểm cho tới bán lẻ.

Chiến dịch sử dụng hai công cụ chính:

• Rungan: Backdoor thụ động viết bằng C++, cho phép hacker tạo user trái phép, chạy lệnh từ xa và duy trì quyền kiểm soát.
• Gamshen: Mô-đun cài cắm trực tiếp vào phần mềm web server IIS của Microsoft. Nó chặn và chỉnh sửa phản hồi HTTP, nhưng chỉ khi yêu cầu đến từ Googlebot (trình thu thập dữ liệu của Google). Nhờ đó, hacker có thể “cấy” backlink gian lận, thao túng SEO mà khách truy cập bình thường không hề nhận ra.

Ngoài ra, nhóm còn triển khai các công cụ khác như GoToHTTP (truy cập từ xa), BadPotato/EfsPotato (leo thang đặc quyền), Zunput (thu thập thông tin và cài webshell ASP/PHP/JS).

Quá trình hoạt động cơ bản sẽ là:

• Xâm nhập ban đầu: Nhiều khả năng qua lỗ hổng SQL injection.
• Dùng PowerShell để tải công cụ từ server trung gian.
• Cài Rungan và Gamshen để vừa có cửa hậu, vừa phục vụ SEO gian lận.
• Duy trì quyền kiểm soát: tạo tài khoản admin giả, thả webshell, cài nhiều công cụ song song.

Mức độ nguy hiểm và ảnh hưởng

• Chủ website bị nhiễm: Uy tín giảm sút, bị Google “đánh dấu” vì dính SEO bẩn, dẫn tới tụt hạng, mất khách truy cập.
• Người dùng Internet: Có nguy cơ bị chuyển hướng sang các website cờ bạc, lừa đảo.
• Cộng đồng mạng: Góp phần làm loãng kết quả tìm kiếm, khiến Google hiển thị kết quả sai lệch, giảm chất lượng thông tin.
• Đây là một kiểu tấn công tinh vi và “lặng lẽ”, không ồn ào như ransomware nhưng lại gây hậu quả dài hạn cả về tài chính lẫn uy tín.

GhostRedirector cho thấy xu hướng mới, tin tặc không chỉ mã hóa tống tiền mà còn biến hệ thống bị hack thành công cụ làm ăn ngầm.

Các chuyên gia khuyến cáo:

• Doanh nghiệp cần vá kịp thời các lỗ hổng web, đặc biệt là SQL injection.
• Theo dõi log PowerShell và hoạt động bất thường trên IIS.
• Kiểm tra định kỳ các mô-đun IIS để phát hiện cài cắm trái phép.
• Sử dụng giải pháp giám sát an ninh nâng cao, phát hiện cả hành vi bất thường chứ không chỉ dựa vào chữ ký malware.

GhostRedirector là mối đe dọa thực tế đã ảnh hưởng tới Việt Nam, sử dụng kỹ thuật gian lận SEO tinh vi để lợi dụng máy chủ hợp pháp. Nếu bị khai thác, hệ thống không chỉ mất kiểm soát mà còn bị biến thành công cụ quảng bá cho trang web cờ bạc. Trong bối cảnh tội phạm mạng ngày càng sáng tạo, mỗi lỗ hổng không được vá kịp thời có thể biến doanh nghiệp thành “nền tảng quảng cáo miễn phí” cho kẻ xấu. Với GhostRedirector, bài học rõ ràng là đừng để uy tín thương hiệu của mình bị đánh cắp cho những trò SEO bẩn.

WhiteHat​