Rabattilbud med flere licenser
Trusseldatabase Malware BadIIS-malware

BadIIS-malware

Med Mezo i Malware
Oversæt til:

Cybersikkerhedsforskere har afsløret en sofistikeret SEO-forgiftningskampagne, som menes at være udført af en kinesisktalende trusselsaktør. Angrebene er primært rettet mod Øst- og Sydøstasien, med særligt fokus på Vietnam. Denne kampagne er forbundet med malware kaldet BadIIS og spores under navnet CL-UNK-1037. Det er værd at bemærke, at trusselsaktøren viser infrastruktur- og arkitekturoverlap med enheder identificeret som Group 9 og DragonRank.

Sådan fungerer SEO-forgiftning

SEO-forgiftning involverer manipulation af søgemaskineresultater for at narre brugere til at besøge uventede eller ondsindede websteder, såsom gambling eller indholdsportaler for voksne, med økonomisk vinding for øje. I denne kampagne udnytter angriberne et indbygget IIS-modul, BadIIS, til at servere ondsindet indhold fra legitime, men kompromitterede servere.

BadIIS-funktioner inkluderer:

  • Opfangning og ændring af indgående HTTP-trafik.
  • Indsprøjtning af søgeord og -sætninger på velrenommerede websteder for at manipulere placeringer i søgemaskinerne.
  • Markering af besøgende fra søgemaskinecrawlere ved hjælp af User-Agent-headeren og hentning af forgiftet indhold fra en Command-and-Control (C2)-server.

Denne tilgang gør det muligt for kompromitterede websteder at rangere højt for målrettede søgeord, hvilket i sidste ende omdirigerer intetanende brugere til svindelsider.

Angrebets livscyklus

SEO-forgiftningsangrebet følger en proces i flere trin:

At lokke : Angribere sender manipuleret indhold til søgemaskinernes crawlere, hvilket får det kompromitterede websted til at virke relevant for irrelevante søgeord.

Fælden falder : Ofre, der søger efter disse søgeord, støder på websteder, der ser legitime ud, men er kompromitterede, og som omdirigerer dem til ondsindede destinationer.

I mindst én kendt hændelse udnyttede angribere adgang fra søgemaskiner til at eskalere angreb ved at oprette nye lokale konti, implementere webshells, eksfiltrere kildekode og installere yderligere BadIIS-implantater til vedvarende fjernadgang.

Brugte værktøjer og varianter

Trusselsaktøren anvender flere værktøjer og varianter til at opnå SEO-manipulation og trafikkontrol:

  • Let ASP.NET-sidehåndtering til proxying af skadeligt indhold.
  • Administreret .NET IIS-modul til inspektion/ændring af anmodninger og indsprøjtning af spamlinks/søgeord.
  • Alt-i-et PHP-script, der kombinerer brugeromdirigering og dynamisk SEO-forgiftning.

    • Alle implantater er tilpasset til at kontrollere søgemaskineresultater og trafikflow, hvilket demonstrerer en yderst koordineret operation.

    Attribuering og sproglig evidens

    Forskerne har stor tiltro til, at denne aktivitet udføres af en kinesisktalende trusselsaktør. Denne konklusion understøttes af:

    • Direkte sproglige beviser fundet i malwaren og infrastrukturen.
    • Arkitektoniske og operationelle forbindelser, der forbinder aktøren med Gruppe 9-klyngen.

    Operation Rewrite eksemplificerer, hvordan sofistikerede trusselsaktører udnytter SEO-forgiftning, IIS-sårbarheder og webserverkompromitteringer til at omdirigere trafik og udføre økonomisk motiverede angreb.

    Trending

    Mest sete

    Indlæser...