des hackers associés à la chine exploitent des failles sur des serveurs windows afin de manipuler illicitement les résultats de référencement, compromettant ainsi la sécurité et la visibilité des sites web ciblés.
HomeNon classéTin tặc có liên hệ với Trung Quốc khai thác máy chủ Windows để thao túng SEO bất hợp pháp
Non classé

Tin tặc có liên hệ với Trung Quốc khai thác máy chủ Windows để thao túng SEO bất hợp pháp

By Valentin , on 26 Tháng 9 2025 , updated on 26 Tháng 9 2025 - 11 minutes to read

65 máy chủ Windows bị xâm nhập, các trang web hợp pháp bị tấn công để đẩy các sòng bạc đáng ngờ lên hàng đầu Google: hoạt động GhostRedirector chứng tỏ ở mức độ nào an ninh mạng vẫn còn mong manh vào năm 2025. hacker trung quốc điều khiển thao tác, trượt vào các cửa sau gần như vô hình và một lớpSEO trái phép thoát khỏi radar thông thường. Bệnh viện, trường đại học, công ty khởi nghiệp… không ai thoát khỏi. Trong bối cảnh này, việc hiểu cáckhai thác lỗ hổngthao tác dữ liệu trở nên cấp bách: đây là những điều cần thiết, sau đó là những cách thức cụ thể để chống lại.

Tin tặc Trung Quốc: cơ chế tấn công GhostRedirector

Chiến dịch ra đời trong bóng tối vào tháng 8 năm 2024. Trong sáu tháng, tập thể đã thâm nhập vào toàn bộ khu máy chủ nhờ Rungan và Gamshen, hai bộ cấy được hiệu chỉnh cho IIS. Đầu tiên mở một kênh bí mật thông qua một URL không đáng kể; cái thứ hai viết lại phản hồi HTTP khi robot Google đi qua. Kết quả: khách truy cập tiếp tục hiển thị trang web trường đại học của mình, trong khi thuật toán Mountain View phát hiện liên kết đến một sòng bạc ngầm được tổ chức tại Ma Cao. Cái này thao tác dữ liệu đưa nền tảng trò chơi lên trang đầu tiên mà không tốn một chút chi phí tiếp thị nào.

Nhóm ESET tuân theo nguyên tắc chung: 80% gói đi qua một nút ở tỉnh Giang Tô, Trung Quốc. Các nạn nhân trải rộng khắp Brazil, Thái Lan và Hoa Kỳ. Một vũ đạo gợi nhớ đến chiến dịch “Volt Typhoon”, đồng thời thiên về sự tùy ý hơn là trộm cắp quy mô lớn.

Xâm nhập nhanh

Nó thường bắt đầu bằng một lệnh SQL đơn giản được mở trên mạng nội bộ nhân sự. Khi hệ thống Windows bị ảnh hưởng, BadPotato sẽ tăng quyền, Comdai tạo tài khoản quản trị viên, GoToHTTP đảm nhiệm việc xử lý từ xa. Tường lửa nhìn thấy một luồng TLS thông thường đi qua: không thể nghi ngờ một tấn công máy tínhKhi đội ngũ CNTT thức dậy, các liên kết ngược gian lận đã lên đến hàng nghìn, và lưu lượng truy cập tự nhiên đã chuyển sang bàn poker lậu.

Tấn công SEO: Tại sao máy chủ Windows bị nhắm mục tiêu?

Windows Server hỗ trợ gần một nửa số trang web IIS công cộng. Do đó, mô-đun Gamshen được viết riêng cho bộ phần mềm này. Máy chủ Windows cũng chịu ảnh hưởng từ một di sản lịch sử: nhiều máy chủ vẫn lưu trữ các cổng thông tin .NET cũ, chưa được vá. Bề mặt tấn công này tạo điều kiện cho việc tấn công nhanh chóng, tiếp theo là triển khai các tập lệnh PowerShell chịu trách nhiệm che giấu SEO. GhostRedirector khai thác một nghịch lý: trang web càng đáng tin cậy thì uy tín của nó càng giúp sòng bạc leo thang. Một phòng khám uy tín ở Chicago có giá trị bằng mười mạng blog ẩn danh. Do đó, những kẻ tấn công chọn các mục tiêu có uy tín cao để thúc đẩy chiến lược SEO của chúng. Điều này tương đương với việc mượn cửa sổ của một cửa hàng bách hóa để bán hàng giả. Các cảnh báo nội bộ đầu tiên cũng tiết lộ một yếu tố tài chính. Mỗi vị trí giành được trên Google sẽ tạo ra một làn sóng người đánh bạc trực tuyến. Chỉ một ngày trong top ba có giá trị hàng chục nghìn đô la cho kẻ điều hành bất hợp pháp, đủ để tài trợ cho việc tìm kiếm các lỗ hổng bảo mật mới. Các kỹ thuật SEO bất hợp pháp được phát hiện tại hiện trường Cốt lõi của kế hoạch này dựa trên ba đòn bẩy. Thứ nhất, che giấu: một phản hồi HTML cho bot, một phản hồi khác cho người dùng. Thứ hai, chuyển hướng 302 vô hình, do Rungan quản lý, đưa người dùng đến một tên miền ma được lưu trữ tại Philippines. Cuối cùng, việc chèn các từ khóa thịnh hành để tránh bộ lọc thư rác. Các nhà phân tích nhận thấy các trang sức khỏe đột nhiên chuyển sang “tiền thưởng roulette 100” hoặc “tiền cược tiền điện tử”.

Phần mềm độc hại kỹ thuật số nàykhông chỉ thúc đẩy cờ bạc. Nó còn đóng vai trò như một phòng thí nghiệm để kiểm tra các kịch bản chính trị: ngày mai, phương pháp tương tự có thể thúc đẩy các trang web thông tin sai lệch trước cuộc bầu cử. Tóm lại, ai kiểm soát SEO sẽ kiểm soát câu chuyện.

ESET lưu ý rằng cấu hình thay đổi gần như hàng tuần. Ngay khi bộ lọc Google xuất hiện, Gamshen sẽ điều chỉnh tần suất liên kết ngược hoặc văn bản neo được sử dụng. Sự linh hoạt của mã cho thấy nguồn tài chính vững chắc và một đội ngũ tận tâm.

Tác động đến doanh nghiệp và xã hội của một cuộc tấn công thầm lặng

Một chuỗi cung ứng thương mại điện tử ở São Paulo đã chứng kiến ​​lượng giỏ hàng trung bình giảm 30%: tất cả khách truy cập di động của chuỗi này đều bị hút vào một cổng thông tin cá cược thể thao. Tuy nhiên, danh tiếng mất nhiều thời gian hơn để xây dựng lại. Các công ty bảo hiểm hiện đã đưa điều khoản “mất lưu lượng truy cập tự nhiên” vào chính sách an ninh mạng của họ. Về mặt quy định, Liên minh Châu Âu đã xem xét mức phạt GDPR mở rộng đối với các công ty để cửa hàng của họ bị tấn công. Bởi vì ngay cả khi không có dữ liệu cá nhân nào bị đánh cắp, việc vô tình lưu trữ nội dung bất hợp pháp cũng cấu thành một lỗi. Ngoài những con số, niềm tin đang suy yếu. Khi một bệnh nhân nhấp vào trang web bệnh viện của họ và kết thúc tại bàn roulette, uy tín y tế sẽ sụp đổ. Sự cố tâm lý này vẫn là tổn thất tốn kém nhất để khắc phục.

Các biện pháp phòng thủ tức thời chống lại các cuộc tấn công GhostRedirector

Các chuyên gia khuyên bạn nên kiểm tra mọi mô-đun IIS. Một tệp DLL không xác định có ngày tháng cách đây ba ngày? Cần phải cô lập, phân tích và sau đó xác minh tính toàn vẹn của các khóa registry liên quan. Về phía mạng, việc lọc đơn giản các tác nhân người dùng “Googlebot” gửi đi giúp phát hiện lưu lượng truy cập bất thường đến các tên miền trò chơi.

Về mặt vận hành, việc luân chuyển chứng chỉ hàng tháng và vô hiệu hóa CertUtil trên máy chủ bệnh viện đã chặn 70% các nỗ lực gần đây. Việc bổ sung EDR có khả năng phát hiện BadPotato sẽ cắt đứt chuỗi khai thác trước khi leo thang đặc quyền.

Giám sát Chủ động

Việc so sánh SERP của tên miền của bạn hàng ngày với SERP của một proxy trung lập sẽ phát hiện SEO bất hợp pháp trong vòng chưa đầy một giờ. Cuối cùng, việc theo dõi các chỉ số uy tín DNS sẽ hạn chế sự lan truyền: ngay khi một liên kết ngược đáng ngờ xuất hiện, việc cắt nó sẽ làm giảm sức hấp dẫn của trang web bị xâm nhập đối với tin tặc Trung Quốc.

Các nhà quan sát đồng ý: biện pháp phòng thủ hiệu quả nhất vẫn là giám sát liên tục. Bởi vì trong bối cảnh năm 2025, sự đổi mới đang diễn ra nhanh chóng, nhưng an ninh mạng phải phát triển nhanh hơn nữa.

Nguồn: petri.com

Donner votre avis
Partager cet article :
Avatar photo

Valentin

Salut ! Je m'appelle Valentin, j'ai 27 ans et je suis Administrateur système et réseaux. J'adore faire la fête, jouer au foot et passer du temps sur les jeux vidéos.

Comments

Leave a comment

Your comment will be revised by the site if needed.