BadIIS зловреден софтуер
Заплашващ актьор, който комуникира на опростен китайски, е свързан с нова кампания, насочена към страни в Азия и Европа. Целта на кампанията е да манипулира класирането в търсачките чрез SEO тактики. Тази Black Hat SEO кампания, наречена DragonRank от изследователи по киберсигурност, е засегнала региони, включително Тайланд, Индия, Южна Корея, Белгия, Холандия и Китай.
DragonRank компрометира услугите за уеб приложения, за да внедри уеб черупки, които след това се използват за събиране на системна информация и доставяне на зловреден софтуер като PlugX и BadIIS. Тези атаки доведоха до компрометиране на 35 сървъра на Интернет информационни услуги (IIS), като крайната цел беше инсталирането на зловреден софтуер BadIIS, идентифициран за първи път през август 2021 г.
Съдържание
Нападателите превземат компрометирани IIS сървъри
Злонамереният софтуер е специално проектиран да улесни прокси софтуера и SEO измамите чрез преобразуване на компрометирания IIS сървър в релейна точка за измамни комуникации между участниците в заплахата и техните жертви. Освен това може да промени съдържанието, което се предоставя на търсачките, за да манипулира алгоритмите и да подобри класирането на уебсайтовете, насочени от нападателите.
Едно от най-удивителните открития на разследването е многофункционалността на зловреден софтуер IIS, особено при използването му за SEO измами. Този злонамерен софтуер се използва за манипулиране на алгоритмите на търсачките, за подобряване на видимостта и репутацията на уебсайтове на трети страни.
Последните атаки, разкрити от изследователите, обхващат широк спектър от индустрии, включително бижута, медии, изследователски услуги, здравеопазване, видео и телевизионна продукция, производство, транспорт, религиозни и духовни организации, ИТ услуги, международни отношения, селско стопанство, спорт и дори фън шуй.
Верига от атаки, приписана на DragonRank
Атаката започва с използване на известни уязвимости в уеб приложения като phpMyAdmin и WordPress за внедряване на уеб обвивката ASPXspy с отворен код. След това тази уеб обвивка служи като шлюз за въвеждане на допълнителни инструменти в целевата среда.
Основната цел на кампанията е компрометиране на IIS сървъри, хостващи корпоративни уебсайтове. Нападателите използват тези сървъри, за да инсталират злонамерен софтуер BadIIS, пренасочвайки ги като платформи за измамни дейности, често включващи ключови думи, свързани с порнография и секс.
Забележителна характеристика на злонамерения софтуер е способността му да се представя за робота на търсачката на Google в низа на потребителския агент, когато се свързва със сървъра за командване и управление (C2). Тази тактика му помага да избегне някои мерки за сигурност на уебсайта.
Актьори на заплахи участват в SEO манипулация
Актьорът на заплахата манипулира SEO, като използва или променя алгоритмите на търсачката, за да повиши класирането на уебсайт в резултатите от търсенето. Това се прави, за да се привлече трафик към измамни сайтове, да се увеличи видимостта на измамното съдържание или да се нарушат конкурентите чрез изкуствено завишаване или намаляване на класирането.
DragonRank се откроява от другите Black Hat SEO групи поради подхода си за пробиване на допълнителни сървъри в мрежата на целта. Той поддържа контрол върху тези сървъри с помощта на PlugX, задна вратичка, често използвана от китайски заплахи, и различни инструменти за събиране на идентификационни данни като Mimikatz , PrintNotifyPotato, BadPotato и GodPotato.
Злонамерени техники и онлайн присъствие
Зловреден софтуер PlugX, използван при тези атаки, използва техники за странично зареждане на DLL. Зареждащият DLL, който инициира криптирания полезен товар, използва механизма за обработка на структурирани изключения на Windows (SEH), за да гарантира, че законният файл (т.е. двоичният файл, склонен към странично зареждане на DLL), може да зареди PlugX, без да задейства каквито и да е сигнали за сигурност.
Изследователите са открили доказателства, че заплахата действа в Telegram под името „tttseo“ и в приложението за незабавни съобщения QQ, където извършва незаконни бизнес транзакции с клиенти. Те също така предоставят това, което изглежда като висококачествено обслужване на клиентите, създавайки промоционални стратегии, съобразени с нуждите на техните клиенти.
Клиентите могат да изпращат ключови думи и уебсайтове, които искат да рекламират, а DragonRank проектира стратегия въз основа на тези спецификации. Групата също така се фокусира върху насочване на промоции за конкретни държави и езици, предлагайки персонализиран и задълбочен подход към онлайн маркетинга.
