BadIIS ম্যালওয়্যার
সাইবার নিরাপত্তা গবেষকরা একটি অত্যাধুনিক SEO বিষক্রিয়ামূলক প্রচারণা আবিষ্কার করেছেন, যা একজন চীনা-ভাষী হুমকি অভিনেতা দ্বারা পরিচালিত বলে মনে করা হচ্ছে। আক্রমণগুলি মূলত পূর্ব এবং দক্ষিণ-পূর্ব এশিয়াকে লক্ষ্য করে, বিশেষ করে ভিয়েতনামকে লক্ষ্য করে। এই প্রচারণাটি BadIIS নামক ম্যালওয়্যারের সাথে সম্পর্কিত এবং CL-UNK-1037 নামে ট্র্যাক করা হয়। উল্লেখযোগ্যভাবে, হুমকি অভিনেতাটি গ্রুপ 9 এবং ড্রাগনর্যাঙ্ক হিসাবে চিহ্নিত সত্তাগুলির সাথে অবকাঠামো এবং স্থাপত্যের ওভারল্যাপ দেখায়।
সুচিপত্র
SEO পয়জনিং কিভাবে কাজ করে
SEO বিষক্রিয়ার মাধ্যমে ব্যবহারকারীদের আর্থিক লাভের জন্য জুয়া বা প্রাপ্তবয়স্কদের জন্য তৈরি পোর্টালের মতো অপ্রত্যাশিত বা দূষিত ওয়েবসাইট পরিদর্শন করতে উৎসাহিত করার জন্য সার্চ ইঞ্জিনের ফলাফলে হেরফের করা হয়। এই প্রচারণায়, আক্রমণকারীরা বৈধ কিন্তু আপোস করা সার্ভার থেকে দূষিত সামগ্রী পরিবেশনের জন্য একটি স্থানীয় IIS মডিউল, BadIIS ব্যবহার করে।
BadIIS ফাংশনগুলির মধ্যে রয়েছে:
- আগত HTTP ট্র্যাফিক আটকানো এবং পরিবর্তন করা।
- সার্চ ইঞ্জিন র্যাঙ্কিং নিয়ন্ত্রণের জন্য নামী ওয়েবসাইটগুলিতে কীওয়ার্ড এবং বাক্যাংশ প্রবেশ করানো।
- ইউজার-এজেন্ট হেডার ব্যবহার করে সার্চ ইঞ্জিন ক্রলার থেকে ভিজিটরদের চিহ্নিত করা এবং কমান্ড-এন্ড-কন্ট্রোল (C2) সার্ভার থেকে বিষাক্ত কন্টেন্ট আনা।
এই পদ্ধতির ফলে ঝুঁকিপূর্ণ ওয়েবসাইটগুলি লক্ষ্যবস্তু অনুসন্ধান পদগুলির জন্য উচ্চ র্যাঙ্ক পেতে পারে, যা শেষ পর্যন্ত সন্দেহাতীত ব্যবহারকারীদের স্ক্যাম সাইটগুলিতে পুনঃনির্দেশিত করে।
আক্রমণের জীবনচক্র
SEO বিষক্রিয়া আক্রমণ একটি বহু-পদক্ষেপ প্রক্রিয়া অনুসরণ করে:
প্রলুব্ধকর কৌশল তৈরি করা : আক্রমণকারীরা সার্চ ইঞ্জিন ক্রলারদের কাছে কারসাজি করা কন্টেন্ট সরবরাহ করে, যার ফলে হ্যাক করা ওয়েবসাইটটি সম্পর্কহীন অনুসন্ধান পদের জন্য প্রাসঙ্গিক দেখায়।
ফাঁদ পাওয়া : এই শব্দগুলি অনুসন্ধানকারী ভুক্তভোগীরা বৈধ কিন্তু আপোস করা সাইটগুলির মুখোমুখি হন, যা তাদের ক্ষতিকারক গন্তব্যে পুনঃনির্দেশিত করে।
অন্তত একটি পরিচিত ঘটনায়, আক্রমণকারীরা নতুন স্থানীয় অ্যাকাউন্ট তৈরি করে, ওয়েব শেল স্থাপন করে, সোর্স কোড এক্সফিল্টার করে এবং স্থায়ী দূরবর্তী অ্যাক্সেসের জন্য অতিরিক্ত BadIIS ইমপ্লান্ট ইনস্টল করে আক্রমণ বৃদ্ধির জন্য সার্চ ইঞ্জিন ক্রলার অ্যাক্সেস ব্যবহার করেছে।
ব্যবহৃত সরঞ্জাম এবং রূপগুলি
হুমকিদাতা SEO ম্যানিপুলেশন এবং ট্র্যাফিক নিয়ন্ত্রণ অর্জনের জন্য একাধিক সরঞ্জাম এবং রূপ ব্যবহার করে:
- ক্ষতিকারক কন্টেন্ট প্রক্সি করার জন্য হালকা ASP.NET পেজ হ্যান্ডলার।
সমস্ত ইমপ্লান্ট সার্চ ইঞ্জিনের ফলাফল এবং ট্র্যাফিক প্রবাহ নিয়ন্ত্রণের জন্য কাস্টমাইজ করা হয়েছে, যা একটি অত্যন্ত সমন্বিত ক্রিয়াকলাপ প্রদর্শন করে।
বৈশিষ্ট্য এবং ভাষাগত প্রমাণ
গবেষকদের দৃঢ় বিশ্বাস যে এই কার্যকলাপটি একজন চীনা-ভাষী হুমকিদাতা দ্বারা পরিচালিত। এই উপসংহারটি নিম্নলিখিত দ্বারা সমর্থিত:
- ম্যালওয়্যার এবং অবকাঠামোতে সরাসরি ভাষাগত প্রমাণ পাওয়া গেছে।
- গ্রুপ ৯ ক্লাস্টারের সাথে অভিনেতাকে সংযুক্তকারী স্থাপত্য এবং পরিচালনাগত লিঙ্ক।
অপারেশন রিরাইট উদাহরণ হিসেবে দেখায় যে কীভাবে অত্যাধুনিক হুমকিদাতারা SEO বিষক্রিয়া, IIS দুর্বলতা এবং ওয়েব সার্ভারের আপসকে কাজে লাগিয়ে ট্র্যাফিক পুনঃনির্দেশিত করছে এবং আর্থিকভাবে উদ্দেশ্যপ্রণোদিত আক্রমণ পরিচালনা করছে।
