Зловреден софтуер BadIIS
Изследователи по киберсигурност разкриха сложна SEO кампания, за която се смята, че е извършена от китайскоговорящ злонамерен персонаж. Атаките са насочени предимно към Източна и Югоизточна Азия, с особен фокус върху Виетнам. Тази кампания е свързана със зловреден софтуер, наречен BadIIS, и е проследявана под името CL-UNK-1037. Забележително е, че злонамереният персонаж показва инфраструктурни и архитектурни припокривания с организации, идентифицирани като Group 9 и DragonRank.
Съдържание
Как работи SEO отравянето
SEO отравянето включва манипулиране на резултатите от търсачките, за да се подведат потребителите да посетят неочаквани или злонамерени уебсайтове, като например хазартни игри или портали за съдържание за възрастни, за финансова изгода. В тази кампания нападателите използват вграден IIS модул, BadIIS, за да предоставят злонамерено съдържание от легитимни, но компрометирани сървъри.
Функциите на BadIIS включват:
- Прихващане и промяна на входящия HTTP трафик.
- Вмъкване на ключови думи и фрази в реномирани уебсайтове за манипулиране на класирането в търсачките.
- Маркиране на посетители от роботите на търсачките, използвайки заглавката User-Agent, и извличане на заразено съдържание от команден и контролен (C2) сървър.
Този подход позволява на компрометираните уебсайтове да се класират високо за целеви термини за търсене, като в крайна сметка пренасочват нищо неподозиращи потребители към измамни сайтове.
Жизненият цикъл на атаката
Атаката за SEO отравяне следва многоетапен процес:
Изграждане на примамката : Нападателите подават манипулирано съдържание към роботите на търсачките, правейки компрометирания уебсайт да изглежда релевантен за несвързани термини за търсене.
Отваряне на капана : Жертвите, търсещи тези термини, се натъкват на легитимно изглеждащи, но компрометирани сайтове, които ги пренасочват към злонамерени дестинации.
В поне един известен инцидент, нападателите са използвали достъпа на роботи на търсачки, за да ескалират атаките си чрез създаване на нови локални акаунти, внедряване на уеб шелове, извличане на изходен код и инсталиране на допълнителни BadIIS импланти за постоянен отдалечен достъп.
Използвани инструменти и варианти
Злоумишленикът използва множество инструменти и варианти, за да постигне SEO манипулация и контрол на трафика:
- Лек ASP.NET обработчик на страници за проксиране на злонамерено съдържание.
- Управляван .NET IIS модул за проверка/модифициране на заявки и инжектиране на спам връзки/ключови думи.
- Всичко в едно PHP скрипт, комбиниращ пренасочване на потребители и динамично SEO отравяне.
Всички импланти са персонализирани да контролират резултатите от търсачките и трафика, демонстрирайки силно координирана операция.
Атрибуция и езикови доказателства
Изследователите са силно уверени, че тази дейност се извършва от китайскоговорящ злонамерен персонаж. Това заключение се подкрепя от:
- Директни езикови доказателства, открити в зловредния софтуер и инфраструктурата.
- Архитектурни и оперативни връзки, свързващи участника с клъстера от Група 9.
Операция „Пренаписване“ е пример за това как сложни злонамерени лица използват SEO отравяне, уязвимости в IIS и компрометиране на уеб сървъри, за да пренасочват трафик и да извършват финансово мотивирани атаки.
