Technologies de l'information

Une nouvelle équipe alignée sur la Chine compromet les serveurs Windows pour des fraudes liées au référencement

Posted on by misael
découvrez la chine, un pays fascinant aux traditions millénaires, à la culture riche et à l'économie dynamique. explorez ses sites historiques, ses paysages époustouflants et sa cuisine renommée.

EN BREF

  • Nouvelle équipe de cybercriminalité nommée GhostRedirector.
  • Compromission d’au moins 65 serveurs Windows à l’échelle mondiale.
  • Utilisation de malware non documenté pour manipuler les classements des sites de jeux d’argent sur Google.
  • Les infections ont commencé en décembre, le groupe étant actif depuis au moins août 2024.
  • Utilisation de deux nouvelles menaces : Rungan et Gamshen.
  • Impact principalement dans des pays comme Brésil, Perou, Thaïlande, Vietnam et États-Unis.
  • Technique d’accès initial possible via une vulnérabilité SQL injection.
  • Utilisation de PowerShell pour télécharger des outils d’escalade de privilèges.
  • Les attaques ciblent plusieurs secteurs, notamment l’éducation, la santé, et le transport.
  • SEO frauduleux comme service, manipulant les classements de recherche spécifiques à Google.

Une nouvelle équipe de cybercriminalité alignée sur la Chine, nommée GhostRedirector, a compromis au moins 65 serveurs Windows à travers le monde, en utilisant des malwares non documentés pour manipuler le classement des sites de jeux d’argent sur Google. Les infections auraient débuté en décembre, avec des indications d’une activité remontant à août 2024. Les outils malveillants, Rungan et Gamshen, permettent de modifier les réponses envoyées à Googlebot, créant des backlinks artificiels pour favoriser certains sites de jeux. La majorité des serveurs infectés se trouvent en Amérique du Sud et en Asie du Sud, ciblant divers secteurs tels que l’éducation et la santé. Les attaquants auraient utilisé une vulnérabilité d’injection SQL pour accéder aux serveurs compromis et déployer leurs outils de fraude.

Une nouvelle équipe de cybercriminalité, alignée avec la Chine, a récemment été mise en lumière par des chercheurs en sécurité, notamment ceux d’ESET. Cette équipe, connue sous le nom de GhostRedirector, a compromis au moins 65 serveurs Windows à l’échelle mondiale en utilisant un malware jusqu’alors non documenté. Leur objectif principal : manipuler le référencement des sites de jeu sur Google, à travers une technique frauduleuse exploitant les systèmes de référencement naturel.

Origine et activités de GhostRedirector

Les infections liées à GhostRedirector auraient débuté en décembre, avec des indications suggérant une activité antérieure depuis au moins août 2024. Grâce à des outils personnalisés, l’équipe a développé des malwares spécifiques appelés Rungan et Gamshen. Rungan agit comme une porte dérobée passive en C++, tandis que Gamshen est un trojan qui intervient directement dans les résultats de recherche de Google pour générer des revenus illicites. Ces actions permettent aux sites de jeux ciblés d’améliorer leur positionnement dans les résultats de recherche.

Mécanismes de l’attaque

La technique utilisée par GhostRedirector pour compromettre les serveurs repose principalement sur des failles de sécurité, comme le SQL injection. Une fois l’accès initial obtenu, les cybercriminels déploient des outils d’escalade de privilèges sous Windows, dont les malwares Rungan et Gamshen. Ces outils sont conçus pour créer ou modifier des comptes utilisateurs sur les serveurs compromis, ce qui garantit la persistance des attaques.

Exploitation des vulnérabilités

Les outils d’escalade de privilèges sont basés sur des exploits connus tel que EfsPotato et BadPotato. Une partie des échantillons a même été signée avec un certificat émis par une autorité de certification, rendant leur détection plus difficile. Cela montre à quel point les moyens technologiques utilisés par les cybercriminels peuvent être sophistiqués.

Outils spécifiques utilisés dans les attaques

Parmi les outils déployés par GhostRedirector, un autre nommé Comdai a été identifié. Ce dernier possède de nombreuses fonctionnalités ressemblant à des portes dérobées, telles que la communication réseau, la création d’utilisateurs administrateurs, l’exécution de fichiers, la liste des répertoires et la manipulation des services ainsi que des clés du registre Windows. Le déploiement de ces outils constitue une menace majeure pour toute infrastructure ciblée.

Impact et ciblage géographique des attaques

Il a été observé que la majorité des serveurs compromis se trouvent au Brésil, au Pérou, en Thaïlande, au Vietnam et aux États-Unis. Selon les chercheurs, GhostRedirector semble accorder une attention particulière à l’Amérique du Sud et à l’Asie du Sud et ne se limite pas à un secteur spécifique. Les victimes de leurs attaques appartiennent à des domaines variés tels que l’éducation, la santé, l’assurance, le transport, la technologie et le commerce de détail.

Structure du réseau de l’équipe GhostRedirector

Les actions de GhostRedirector s’inscrivent dans une logique de réseau bien organisé, exploitant la diversité des secteurs afin de maximiser leurs chances de succès. De plus, le groupe semble bien informé sur les tendances actuelles des plateformes de référencement naturel, permettant d’affiner leurs attaques et de cibler des sites à fort potentiel de rentabilité.

Manipulation des résultats de recherche

Une fois les serveurs compromis, les sites victimes sont transformés pour afficher des versions modifiées de leurs pages web lorsque Googlebot les scrute. Ces modifications ont pour but de créer l’illusion que certains sites de jeu sont très recommandés, en incrémentant le nombre de backlinks fictifs qui dirigent vers ces sites. Cette manœuvre contrefait donc les critères d’évaluation que Google applique pour classer les différents sites.

Fraude au référencement – techniques utilisées

Les techniques SEO manipulatrices utilisées par GhostRedirector engendrent une distortion des résultats de recherche, dénaturant ainsi le marché du référencement. Les actions de ce groupe révèlent un niveau avancé de compréhension des algorithmes de Google et de leur fonctionnement, ce qui leur confère un avantage certain dans cette lutte illicite.

Préparation à la cyberdéfense

Face à ces menaces croissantes, il est essentiel pour les entreprises de renforcer leur cybersécurité. L’éducation et la sensibilisation des employés sur les risques des injections SQL et autres vulnérabilités sont primordiales. Les entreprises doivent également investir dans des solutions de sécurité robustes pour détecter et contrer ces attaques avant qu’elles ne causent des dommages significatifs.

Importance de la mise à jour des systèmes

Le maintien à jour des systèmes d’exploitation et des applications logicielles est une première étape cruciale pour prévenir l’infiltration de groupes tels que GhostRedirector. En veillant à corriger les vulnérabilités connues, les entreprises peuvent réduire significativement leur surface d’attaque.

La montée en puissance de groupes de cybercriminalité tels que GhostRedirector met en lumière l’importance cruciale de la cybersécurité dans le monde numérique d’aujourd’hui. Les entreprises doivent prendre des mesures proactives pour se protéger contre ces menaces en constante évolution. Des acteurs comme ESET jouent un rôle essentiel dans l’identification et l’analyse de ces menaces, permettant ainsi aux organisations de mieux se préparer à l’avenir.

découvrez les dernières actualités, la culture, l'histoire et les destinations incontournables en chine. explorez le pays du milieu à travers des articles détaillés et conseils pratiques.

Témoignages sur la compromission des serveurs Windows par une équipe cybercriminelle

Des chercheurs de ESET ont récemment mis en lumière les activités d’une nouvelle équipe cybercriminelle, nommée GhostRedirector, qui a compromis au moins 65 serveurs Windows à travers le monde. Ce groupe utilise un logiciel malveillant innovant pour manipuler les résultats de recherche sur Google, favorisant ainsi certains sites de jeux d’argent.

Selon un expert en sécurité, « les infections ont commencé en décembre, et il semblerait que le groupe ait été actif dès août 2024 ». C’est grâce à une étude approfondie que l’équipe de recherche a pu retracer les origines et les méthodes de cette escroquerie sophistiquée.

Un chercheur a expliqué que GhostRedirector s’appuie sur une variété d’outils personnalisés, dont deux nouveaux : Rungan, un backdoor C++ passif, et Gamshen, un trojan qui fausse les résultats de recherche pour des opérations de SEO frauduleux. Cela permet de présenter aux moteurs de recherche des versions altérées de sites web, favorisant des sites de jeux d’argent par des backlinks trompeurs.

Les serveurs touchés se trouvent principalement au Brésil, au Pérou, en Thaïlande, au Vietnam et aux États-Unis. « Nous suspectons que le groupe privilégie des cibles en Amérique du Sud et en Asie du Sud« , témoigne un expert dans le domaine. Il ajoute que les victimes proviennent de divers secteurs tels que l’éducation, la santé, l’assurance, le transport, la technologie et le commerce de détail.

Les chercheurs suspectent que l’accès initial a été obtenu grâce à une vulnérabilité SQL injection. Par la suite, des outils de montée en privilèges ont été téléchargés en utilisant PowerShell, permettant ainsi aux attaquants de prendre le contrôle des serveurs compromis.

Un autre expert note que ces outils pourraient être basés sur des exploits publics populaires dans le milieu des hackers chinois. Certains de ces outils étaient même signés par des certificats valides, rendant leur détection encore plus complexe. « Ces outils permettent la création ou la modification de comptes utilisateurs, donnant ainsi aux attaquants un accès administratif continu », souligne-t-il.

Dans l’analyse des attaques, ESET a également découvert d’autres outils tels que Zunput, qui collectent des informations sur les sites Web actifs avant de déployer des charges utiles malveillantes. Les actions de Rungan et Gamshen aident à exécuter des commandes backdoor et à faciliter les fraudes SEO, respectivement.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *