Malware BadIIS
Výzkumníci v oblasti kybernetické bezpečnosti odhalili sofistikovanou kampaň zaměřenou na otravu vyhledávačů (SEO), o níž se předpokládá, že ji provedl čínsky mluvící hacker. Útoky se primárně zaměřují na východní a jihovýchodní Asii, se zvláštním zaměřením na Vietnam. Tato kampaň je spojena s malwarem s názvem BadIIS a je sledována pod názvem CL-UNK-1037. Je pozoruhodné, že hacker vykazuje infrastrukturní a architektonické překryvy se subjekty identifikovanými jako Group 9 a DragonRank.
Obsah
Jak funguje SEO otrava
SEO poisoning zahrnuje manipulaci s výsledky vyhledávačů s cílem oklamat uživatele a přimět je navštívit neočekávané nebo škodlivé webové stránky, jako jsou hazardní hry nebo portály s obsahem pro dospělé, za účelem finančního zisku. V této kampani útočníci zneužívají nativní modul IIS BadIIS k zobrazování škodlivého obsahu z legitimních, ale napadených serverů.
Mezi funkce BadIIS patří:
- Zachycování a úprava příchozího HTTP provozu.
- Vkládání klíčových slov a frází na renomované webové stránky za účelem manipulace s pozicemi ve vyhledávačích.
- Označování návštěvníků před roboty vyhledávačů pomocí záhlaví User-Agent a načítání kontaminovaného obsahu ze serveru Command-and-Control (C2).
Tento přístup umožňuje napadeným webovým stránkám umístit se na vysokých pozicích ve vyhledávacích dotazech, což nakonec přesměruje nic netušící uživatele na podvodné stránky.
Životní cyklus útoku
Útok typu SEO poisoning probíhá v několika krocích:
Vytvoření návnady : Útočníci zasílají robotům vyhledávačů zmanipulovaný obsah, čímž se napadený web jeví jako relevantní pro nesouvisející vyhledávací dotazy.
Odhalení pasti : Oběti, které hledají tyto výrazy, narazí na legitimně vypadající, ale napadené stránky, které je přesměrují na škodlivé destinace.
V nejméně jednom známém incidentu útočníci zneužili přístup prohledávačů vyhledávačů k eskalaci útoků vytvářením nových lokálních účtů, nasazením webových shelů, odcizením zdrojového kódu a instalací dalších implantátů BadIIS pro trvalý vzdálený přístup.
Použité nástroje a varianty
Útočník využívá k manipulaci se SEO a kontrole provozu řadu nástrojů a variant:
- Lehký obslužný program stránky ASP.NET pro proxyování škodlivého obsahu.
- Spravovaný modul .NET IIS pro kontrolu/úpravu požadavků a vkládání spamových odkazů/klíčových slov.
- Univerzální PHP skript kombinující přesměrování uživatelů a dynamické SEO poisoning.
Všechny implantáty jsou přizpůsobeny tak, aby řídily výsledky vyhledávačů a tok návštěvnosti, což demonstruje vysoce koordinovaný provoz.
Atribuce a jazykové důkazy
Výzkumníci mají vysokou míru jistoty, že tuto aktivitu provozuje čínsky mluvící hacker. Tento závěr je podpořen:
- Přímé lingvistické důkazy nalezené v malwaru a infrastruktuře.
- Architektonické a provozní vazby propojující aktéra s clusterem Group 9.
Operace Rewrite je příkladem toho, jak sofistikovaní útočníci využívají SEO poisoning, zranitelnosti IIS a kompromitace webových serverů k přesměrování provozu a provádění finančně motivovaných útoků.
