البرامج الضارة BadIIS

تم ربط جهة تهديد تتواصل باللغة الصينية المبسطة بحملة جديدة تستهدف دولًا في مختلف أنحاء آسيا وأوروبا. ويتمثل هدف الحملة في التلاعب بترتيب محركات البحث من خلال تكتيكات تحسين محركات البحث. وقد أثرت هذه الحملة التي أطلق عليها باحثو الأمن السيبراني اسم DragonRank على مناطق بما في ذلك تايلاند والهند وكوريا الجنوبية وبلجيكا وهولندا والصين.

تقوم DragonRank باختراق خدمات تطبيقات الويب لنشر واجهات الويب، والتي تُستخدم بعد ذلك لجمع معلومات النظام وتوصيل البرامج الضارة مثل PlugX وBadIIS. أدت هذه الهجمات إلى اختراق 35 خادمًا لخدمات معلومات الإنترنت (IIS)، بهدف تثبيت البرامج الضارة BadIIS، والتي تم تحديدها لأول مرة في أغسطس 2021.

مهاجمون يسيطرون على خوادم IIS المخترقة

تم تصميم البرنامج الخبيث خصيصًا لتسهيل عمليات الاحتيال عبر برامج الوكيل وتحسين محركات البحث من خلال تحويل خادم IIS المخترق إلى نقطة اتصال للاتصالات الاحتيالية بين الجهات الفاعلة المهددة وضحاياها. بالإضافة إلى ذلك، يمكنه تغيير المحتوى المقدم لمحركات البحث للتلاعب بالخوارزميات وتحسين ترتيب المواقع الإلكترونية التي يستهدفها المهاجمون.

من بين النتائج الأكثر إثارة للدهشة التي توصل إليها التحقيق هو تعدد استخدامات البرامج الضارة التي تستخدم في أنظمة معلومات الإنترنت، وخاصة في استخدامها في عمليات الاحتيال المرتبطة بتحسين محركات البحث. يتم استغلال هذه البرامج الضارة للتلاعب بخوارزميات محرك البحث، مما يعزز من ظهور وسمعة مواقع الطرف الثالث.

وتغطي أحدث الهجمات التي اكتشفها الباحثون مجموعة واسعة من الصناعات، بما في ذلك المجوهرات، والإعلام، وخدمات البحث، والرعاية الصحية، وإنتاج الفيديو والتلفزيون، والتصنيع، والنقل، والمنظمات الدينية والروحية، وخدمات تكنولوجيا المعلومات، والشؤون الدولية، والزراعة، والرياضة، وحتى فنغ شوي.

سلسلة الهجوم المنسوبة إلى DragonRank

يبدأ الهجوم باستغلال نقاط الضعف المعروفة في تطبيقات الويب مثل phpMyAdmin وWordPress لنشر واجهة الويب مفتوحة المصدر ASPXspy. ثم تعمل واجهة الويب هذه كبوابة لإدخال أدوات إضافية إلى البيئة المستهدفة.

الهدف الرئيسي للحملة هو اختراق خوادم IIS التي تستضيف مواقع الويب الخاصة بالشركات. يستخدم المهاجمون هذه الخوادم لتثبيت برامج BadIIS الخبيثة، وإعادة استخدامها كمنصات للأنشطة الاحتيالية، والتي غالبًا ما تنطوي على كلمات رئيسية تتعلق بالمواد الإباحية والجنس.

من السمات البارزة للبرامج الضارة قدرتها على انتحال شخصية برنامج البحث الخاص بمحرك البحث جوجل في سلسلة User-Agent الخاصة بها عند الاتصال بخادم Command-and-Control (C2). تساعد هذه الحيلة في التهرب من بعض تدابير الأمان الخاصة بمواقع الويب.

الجهات الفاعلة المهددة تشارك في التلاعب بمحرك البحث

يتلاعب الفاعل بالتحسين لمحركات البحث من خلال استغلال أو تغيير خوارزميات محرك البحث لتعزيز ترتيب موقع الويب في نتائج البحث. يتم ذلك لتوجيه الزيارات إلى المواقع الاحتيالية، أو زيادة ظهور المحتوى الاحتيالي، أو تعطيل المنافسين من خلال تضخيم أو خفض الترتيب بشكل مصطنع.

تتميز DragonRank عن غيرها من مجموعات SEO غير المشروعة بسبب نهجها المتمثل في اختراق خوادم إضافية داخل شبكة الهدف. وتحافظ على السيطرة على هذه الخوادم باستخدام PlugX، وهو برنامج خلفي يستخدمه عادةً الجهات الفاعلة الصينية المهددة، وأدوات مختلفة لجمع بيانات الاعتماد مثل Mimikatz وPrintNotifyPotato وBadPotato وGodPotato.

التقنيات الخبيثة والتواجد على الإنترنت

يستخدم برنامج PlugX الخبيث المستخدم في هذه الهجمات تقنيات التحميل الجانبي لملفات DLL. يستخدم ملف DLL الذي يقوم بتشغيل الحمولة المشفرة آلية Windows Structured Exception Handling (SEH) لضمان أن الملف الشرعي (أي الملف الثنائي المعرض للتحميل الجانبي لملف DLL) يمكنه تحميل PlugX دون إثارة أي تنبيهات أمنية.

وقد وجد الباحثون أدلة على أن الجهة التي تقوم بالتهديد تعمل على تطبيق Telegram تحت اسم "tttseo" وعلى تطبيق المراسلة الفورية QQ، حيث تجري معاملات تجارية غير قانونية مع العملاء. كما تقدم ما يبدو أنها خدمة عملاء عالية الجودة، وتبتكر استراتيجيات ترويجية مصممة خصيصًا لتلبية احتياجات عملائها.

يمكن للعملاء إرسال الكلمات الرئيسية ومواقع الويب التي يريدون الترويج لها، وتقوم DragonRank بتصميم استراتيجية بناءً على هذه المواصفات. تركز المجموعة أيضًا على استهداف العروض الترويجية لبلدان ولغات محددة، وتقدم نهجًا مخصصًا وشاملًا للتسويق عبر الإنترنت.