Programari maliciós de BadIIS

Investigadors de ciberseguretat han descobert una sofisticada campanya d'enverinament SEO, que es creu que ha estat duta a terme per un actor de pirateria de parla xinesa. Els atacs tenen com a objectiu principal l'Àsia oriental i sud-oriental, amb un enfocament particular al Vietnam. Aquesta campanya està associada amb un programari maliciós anomenat BadIIS i es rastreja amb el nom CL-UNK-1037. Cal destacar que l'actor de pirateria mostra solapaments d'infraestructura i arquitectura amb entitats identificades com a Group 9 i DragonRank.

Com funciona la intoxicació SEO

La intoxicació SEO consisteix a manipular els resultats dels motors de cerca per enganyar els usuaris perquè visitin llocs web inesperats o maliciosos, com ara portals de jocs d'atzar o contingut per a adults, per obtenir beneficis econòmics. En aquesta campanya, els atacants exploten un mòdul IIS natiu, BadIIS, per servir contingut maliciós des de servidors legítims però compromesos.

Les funcions de BadIIS inclouen:

• Interceptació i modificació del trànsit HTTP entrant.
• Injectar paraules clau i frases en llocs web de bona reputació per manipular el posicionament als motors de cerca.
• Marcar visitants dels rastrejadors dels motors de cerca mitjançant la capçalera User-Agent i obtenir contingut enverinat d'un servidor de comandament i control (C2).

Aquest enfocament permet que els llocs web compromesos es posicionin en els primers llocs per a termes de cerca específics, redirigint finalment usuaris desprevinguts a llocs fraudulentes.

El cicle de vida de l’atac

L'atac d'enverinament SEO segueix un procés de diversos passos:

Construint l'esquer : els atacants alimenten contingut manipulat als rastrejadors dels motors de cerca, fent que el lloc web compromès sembli rellevant per a termes de cerca no relacionats.

Desxifrant la trampa : les víctimes que busquen aquests termes es troben amb llocs web amb aspecte legítim però compromesos, que les redirigeixen a destinacions malicioses.

En almenys un incident conegut, els atacants van aprofitar l'accés del rastrejador dels motors de cerca per escalar els atacs creant nous comptes locals, implementant shells web, exfiltrant codi font i instal·lant implants BadIIS addicionals per a l'accés remot persistent.

Eines i variants utilitzades

L'actor d'amenaces utilitza múltiples eines i variants per aconseguir la manipulació SEO i el control del trànsit:

• Gestor de pàgines ASP.NET lleuger per a la transferència de contingut maliciós.
• Mòdul .NET IIS gestionat per inspeccionar/modificar sol·licituds i injectar enllaços/paraules clau de correu brossa.

• Script PHP tot en un que combina la redirecció d'usuaris i la intoxicació dinàmica per SEO.

Tots els implants estan personalitzats per controlar els resultats dels motors de cerca i el flux de trànsit, cosa que demostra un funcionament altament coordinat.

Atribució i evidència lingüística

Els investigadors tenen una alta confiança que aquesta activitat està dirigida per un actor d'amenaces de parla xinesa. Aquesta conclusió està recolzada per:

• Evidència lingüística directa trobada en el programari maliciós i la infraestructura.
• Enllaços arquitectònics i operatius que connecten l'actor amb el clúster del Grup 9.

L'Operació Rewrite exemplifica com els actors d'amenaces sofisticats aprofiten l'enverinament per SEO, les vulnerabilitats de l'IIS i els compromisos del servidor web per redirigir el trànsit i dur a terme atacs amb motius financers.