Programari maliciós BadIIS
Un actor d'amenaces que es comunica en xinès simplificat s'ha relacionat amb una nova campanya dirigida a països d'Àsia i Europa. L'objectiu de la campanya és manipular la classificació dels motors de cerca mitjançant tàctiques de SEO. Aquesta campanya de Black Hat SEO, anomenada DragonRank pels investigadors de ciberseguretat, ha afectat regions com Tailàndia, l'Índia, Corea del Sud, Bèlgica, els Països Baixos i la Xina.
DragonRank compromet els serveis d'aplicacions web per desplegar shells web, que després s'utilitzen per recopilar informació del sistema i lliurar programari maliciós com PlugX i BadIIS. Aquests atacs han provocat el compromís de 35 servidors de serveis d'informació d'Internet (IIS), amb l'objectiu d'instal·lar programari maliciós BadIIS, identificat per primera vegada l'agost de 2021.
Taula de continguts
Els atacants es fan càrrec dels servidors IIS compromesos
El programari maliciós està dissenyat específicament per facilitar el frau de proxy i SEO convertint el servidor IIS compromès en un punt de retransmissió per a comunicacions fraudulentes entre els actors de l'amenaça i les seves víctimes. A més, pot alterar el contingut servit als motors de cerca per manipular algorismes i millorar el rànquing dels llocs web dirigits pels atacants.
Una de les conclusions més sorprenents de la investigació és la versatilitat del programari maliciós IIS, especialment en el seu ús per al frau de SEO. Aquest programari maliciós s'aprofita per manipular algorismes dels motors de cerca, millorant la visibilitat i la reputació dels llocs web de tercers.
Els atacs més recents descoberts pels investigadors cobreixen una àmplia gamma d'indústries, com ara joieria, mitjans de comunicació, serveis d'investigació, sanitat, producció de vídeo i televisió, fabricació, transport, organitzacions religioses i espirituals, serveis informàtics, afers internacionals, agricultura, esports i fins i tot feng. shui.
Cadena d'atac atribuïda a DragonRank
L'atac comença aprofitant vulnerabilitats conegudes en aplicacions web com phpMyAdmin i WordPress per desplegar l'intèrpret d'ordres web ASPXspy de codi obert. Aquest intèrpret d'ordres web serveix llavors com a porta d'entrada per introduir eines addicionals a l'entorn de destinació.
L'objectiu principal de la campanya és comprometre els servidors IIS que allotgen llocs web corporatius. Els atacants utilitzen aquests servidors per instal·lar programari maliciós BadIIS, reutilitzant-los com a plataformes per a activitats fraudulentes, sovint amb paraules clau relacionades amb la pornografia i el sexe.
Una característica notable del programari maliciós és la seva capacitat per suplantar la identitat del rastrejador del motor de cerca de Google a la cadena User-Agent quan es connecta al servidor d'ordres i control (C2). Aquesta tàctica l'ajuda a evadir algunes mesures de seguretat del lloc web.
Els actors d'amenaça participen en la manipulació de SEO
L'actor de l'amenaça manipula el SEO mitjançant l'explotació o l'alteració dels algorismes dels motors de cerca per augmentar la classificació d'un lloc web als resultats de la cerca. Això es fa per dirigir el trànsit a llocs fraudulents, augmentar la visibilitat del contingut fraudulent o pertorbar els competidors inflant o desinflant artificialment els rànquings.
DragonRank es distingeix d'altres grups de Black Hat SEO pel seu enfocament d'incompliment de servidors addicionals dins de la xarxa de l'objectiu. Manté el control d'aquests servidors mitjançant PlugX, una porta del darrere que utilitzen habitualment els actors d'amenaces xinesos, i diverses eines de recollida de credencials com Mimikatz , PrintNotifyPotato, BadPotato i GodPotato.
Tècniques malicioses i presència en línia
El programari maliciós PlugX utilitzat en aquests atacs utilitza tècniques de càrrega lateral de DLL. La DLL del carregador que inicia la càrrega útil xifrada utilitza el mecanisme de gestió d'excepcions estructurades de Windows (SEH) per garantir que el fitxer legítim (és a dir, el binari propens a la càrrega lateral de la DLL) pugui carregar PlugX sense activar cap alerta de seguretat.
Els investigadors han trobat proves que l'actor de l'amenaça opera a Telegram amb el maneig 'tttseo' i a l'aplicació de missatgeria instantània QQ, on realitzen transaccions comercials il·legals amb clients. També ofereixen el que sembla ser un servei al client d'alta qualitat, creant estratègies promocionals adaptades a les necessitats dels seus clients.
Els clients poden enviar paraules clau i llocs web que volen promocionar, i DragonRank dissenya una estratègia basada en aquestes especificacions. El grup també se centra a orientar les promocions a països i idiomes específics, oferint un enfocament personalitzat i exhaustiu del màrqueting en línia.
