BadIIS Malware
Aktér ohrožení, který komunikuje ve zjednodušené čínštině, byl spojen s novou kampaní zaměřenou na země napříč Asií a Evropou. Cílem kampaně je manipulovat s hodnocením ve vyhledávačích pomocí SEO taktiky. Tato kampaň Black Hat SEO, kterou výzkumníci v oblasti kybernetické bezpečnosti nazvali DragonRank, ovlivnila regiony včetně Thajska, Indie, Jižní Koreje, Belgie, Nizozemska a Číny.
DragonRank kompromituje služby webových aplikací za účelem nasazení webových shellů, které se pak používají ke shromažďování systémových informací a dodávání malwaru jako PlugX a BadIIS. Tyto útoky vedly ke kompromitaci 35 serverů Internet Information Services (IIS), jejichž cílem bylo nakonec nainstalovat malware BadIIS, poprvé identifikovaný v srpnu 2021.
Obsah
Útočníci přebírají ohrožené servery IIS
Malware je speciálně navržen tak, aby usnadnil podvody s proxy warem a SEO tím, že převede kompromitovaný server IIS na přenosový bod pro podvodnou komunikaci mezi aktéry hrozby a jejich oběťmi. Kromě toho může změnit obsah poskytovaný vyhledávačům za účelem manipulace s algoritmy a zlepšení hodnocení webových stránek, na které se útočníci zaměřují.
Jedním z nejpozoruhodnějších zjištění vyšetřování je všestrannost malwaru IIS, zejména při jeho použití pro podvody v oblasti SEO. Tento malware je zneužíván k manipulaci s algoritmy vyhledávačů, čímž se zvyšuje viditelnost a pověst webových stránek třetích stran.
Nejnovější útoky odhalené výzkumníky pokrývají širokou škálu průmyslových odvětví, včetně šperků, médií, výzkumných služeb, zdravotnictví, video a televizní produkce, výroby, dopravy, náboženských a duchovních organizací, IT služeb, mezinárodních záležitostí, zemědělství, sportu a dokonce i feng. shui.
Attack Chain Přiřazený DragonRanku
Útok začíná zneužitím známých zranitelností ve webových aplikacích, jako je phpMyAdmin a WordPress, k nasazení open-source webového prostředí ASPXspy. Tento webový shell pak slouží jako brána pro zavádění dalších nástrojů do cílového prostředí.
Hlavním cílem kampaně je kompromitovat servery IIS hostující firemní weby. Útočníci používají tyto servery k instalaci malwaru BadIIS a přeměňují je jako platformy pro podvodné aktivity, často zahrnující klíčová slova související s pornografií a sexem.
Pozoruhodnou vlastností malwaru je jeho schopnost vydávat se za prohledávač vyhledávače Google v jeho řetězci User-Agent při připojení k serveru Command-and-Control (C2). Tato taktika pomáhá vyhnout se některým bezpečnostním opatřením webových stránek.
Aktéři hrozeb se zapojují do SEO manipulace
Aktér ohrožení manipuluje SEO tím, že využívá nebo mění algoritmy vyhledávačů, aby zvýšil hodnocení webových stránek ve výsledcích vyhledávání. To se provádí za účelem zvýšení návštěvnosti podvodných stránek, zvýšení viditelnosti podvodného obsahu nebo narušení konkurence umělým nafukováním nebo deflací hodnocení.
DragonRank se odlišuje od ostatních skupin Black Hat SEO díky svému přístupu k narušení dalších serverů v cílové síti. Udržuje kontrolu nad těmito servery pomocí PlugX, zadních vrátek běžně používaných čínskými aktéry hrozeb, a různých nástrojů pro shromažďování pověření, jako jsou Mimikatz , PrintNotifyPotato, BadPotato a GodPotato.
Škodlivé techniky a online přítomnost
Malware PlugX použitý při těchto útocích využívá techniky načítání z DLL. Zavaděč DLL, který spouští šifrované užitečné zatížení, využívá mechanismus Windows Structured Exception Handling (SEH), aby zajistil, že legitimní soubor (tj. binární soubor náchylný k načítání ze strany DLL) může načíst PlugX bez spouštění jakýchkoli bezpečnostních výstrah.
Výzkumníci našli důkazy, že hrozba působí na telegramu pod rukojetí „tttseo“ a na aplikaci pro rychlé zasílání zpráv QQ, kde provádí nelegální obchodní transakce s klienty. Poskytují také to, co se zdá být vysoce kvalitními službami zákazníkům, a vytvářejí propagační strategie přizpůsobené potřebám svých klientů.
Klienti mohou zadat klíčová slova a webové stránky, které chtějí propagovat, a DragonRank navrhne strategii založenou na těchto specifikacích. Skupina se také zaměřuje na zacílení propagace na konkrétní země a jazyky a nabízí přizpůsobený a důkladný přístup k online marketingu.
