По данным телеметрии и интернет-скана за июнь, заражены как минимум 65 серверов в разных странах. Первые случаи замечены в декабре, однако набор родственных образцов указывает на активность по меньшей мере с августа 2024 года, так что перед нами не вспышка, а длительная кампания с отлаженными ролями и инфраструктурой.
В ее центре два специально написанных компонента. Rungan — пассивный бэкдор на C++, который после закрепления принимает команды на скомпрометированной машине и служит бесшумным механизмом удаленного администрирования. Gamshen — троян для Internet Information Services, меняющий ответы веб-сервера так, чтобы Googlebot видел не оригинальные страницы, а модифицированные версии, выгодные сторонним игорным доменам. На уровне выдачи это выглядит как будто обычные сайты массово ссылаются на продвигаемые ресурсы, и алгоритмы ранжирования трактуют эти искусственные связи как рекомендации, пишет Securitylab.
География поражения показывает явный уклон в страны Южной Америки и Южной Азии. Больше всего зараженных машин обнаружено в Бразилии, Перу, Таиланде, Вьетнаме и США, при этом атакующие не ограничивались отдельной отраслью. Под удар попали образовательные учреждения, медицинские организации, страховые компании, транспорт, технологические фирмы и ритейл. Такой разброс говорит, что отбор жертв определялся не профилем бизнеса, а техническими признаками уязвимости и удобством последующей эксплуатации.
Начальная точка входа, по оценке аналитиков, связана с внедрением SQL-инъекции. Скомпрометировав веб-приложение, злоумышленники переходили к этапу расширения доступа и разворачивали на сервере цепочку загрузчиков и инструментов. Управляющие скрипты в PowerShell тянули все необходимые компоненты с одного и того же узла 868id[.]com, что упрощало логистику атаки и позволяло быстро подменять версии полезных нагрузок.
Для выхода из контекста веб-процесса в администраторский уровень применялись утилиты, основанные на публичных эксплойтах семейства Potato, в частности на идеях EfsPotato и BadPotato, которые широко используются в китайскоязычном криминальном сегменте. Часть образцов при этом имела корректную цифровую подпись — сертификат был выдан центром TrustAsia RSA Code Signing CA G3 на компанию Shenzhen Diyuan Technology. Наличие валидной подписи повышает доверие защитных механизмов к исполняемым файлам и облегчает их запуск. После успешного повышения привилегий работа завершалась созданием или модификацией локальной учетной записи с включением в группу администраторов, что гарантировало устойчивость контроля и возможность выполнять чувствительные операции без повторного взлома.
Помимо финальных бэкдоров исследователи описывают два вспомогательных модуля, обеспечивающих разведку и управление. Библиотека Comdai берет на себя набор функций уровня задней двери: устанавливает сетевое взаимодействие с управляющей частью, создает учетные записи с административными правами, запускает файлы, получает списки каталогов, вмешивается в работу служб и правит ключи реестра Windows. Отдельный компонент Zunput отвечает за инвентаризацию веб-сайтов, способных исполнять динамическое содержимое. Он проверяет активность сайт-коллекций, собирает их параметры — физический путь к веб-корню, имя площадки, IP-адрес, хостнейм — а затем оставляет на сервере веб-оболочку для дальнейших операций.
Заключенительная глава цепочки — разворачивание пары Rungan и Gamshen. Первый выполняет набор команд на взломанном узле и поддерживает удаленную операционную деятельность без шума в логах, второй превращает легитимный ресурс в невидимую прокладку для поисковой манипуляции. Ключевой трюк Gamshen заключается в выборочной подмене ответа лишь для Googlebot, причем вставки формируются динамически на основе данных с управляющего сервера C2. Так создаются искусственные обратные ссылки с доверенных доменов на нужные страницы, что и двигает их к верхним строчкам по целевым запросам. Судя по описанию механики, выгоду получает сторонний проект, который с высокой вероятностью оплачивает услугу накрутки, а GhostRedirector выступает техническим подрядчиком с собственным арсеналом и набором доступов.