BadIIS Malware
En trusselsaktør, der kommunikerer på forenklet kinesisk, er blevet knyttet til en ny kampagne, der er målrettet mod lande på tværs af Asien og Europa. Kampagnens mål er at manipulere placeringer i søgemaskinerne gennem SEO-taktikker. Denne Black Hat SEO-kampagne, kaldet DragonRank af cybersikkerhedsforskere, har påvirket regioner, herunder Thailand, Indien, Sydkorea, Belgien, Holland og Kina.
DragonRank kompromitterer webapplikationstjenester for at implementere web-skaller, som derefter bruges til at indsamle systemoplysninger og levere malware som PlugX og BadIIS. Disse angreb har ført til kompromittering af 35 Internet Information Services (IIS)-servere, som i sidste ende sigter mod at installere BadIIS malware, først identificeret i august 2021.
Indholdsfortegnelse
Angribere overtager kompromitterede IIS-servere
Malwaren er specielt designet til at lette proxy-ware og SEO-svindel ved at konvertere den kompromitterede IIS-server til et relæpunkt for svigagtig kommunikation mellem trusselsaktører og deres ofre. Derudover kan det ændre indholdet, der vises til søgemaskiner, for at manipulere algoritmer og forbedre placeringen af websteder, der er målrettet af angriberne.
Et af de mest slående resultater af undersøgelsen er alsidigheden af IIS malware, især i dets brug til SEO-svindel. Denne malware udnyttes til at manipulere søgemaskinealgoritmer, hvilket forbedrer tredjepartswebsteders synlighed og omdømme.
De seneste angreb afsløret af forskere dækker en bred vifte af industrier, herunder smykker, medier, forskningstjenester, sundhedspleje, video- og tv-produktion, fremstilling, transport, religiøse og spirituelle organisationer, it-tjenester, internationale anliggender, landbrug, sport og endda feng shui.
Angrebskæde tilskrevet DragonRank
Angrebet begynder med at udnytte kendte sårbarheder i webapplikationer som phpMyAdmin og WordPress til at implementere open-source ASPXspy web-shell. Denne web-shell fungerer derefter som en gateway til at introducere yderligere værktøjer i målmiljøet.
Hovedmålet med kampagnen er at kompromittere IIS-servere, der hoster virksomhedswebsteder. Angriberne bruger disse servere til at installere BadIIS malware og genbruger dem som platforme for svigagtige aktiviteter, der ofte involverer nøgleord relateret til pornografi og sex.
Et bemærkelsesværdigt træk ved malwaren er dens evne til at efterligne Googles søgemaskinecrawler i dens User-Agent-streng, når den opretter forbindelse til Command-and-Control-serveren (C2). Denne taktik hjælper den med at undgå nogle sikkerhedsforanstaltninger på webstedet.
Trusselaktører engagerer sig i SEO-manipulation
Trusselsaktøren manipulerer SEO ved at udnytte eller ændre søgemaskinealgoritmer for at øge et websteds placering i søgeresultaterne. Dette gøres for at drive trafik til svigagtige websteder, øge synligheden af svigagtigt indhold eller forstyrre konkurrenter ved kunstigt at puste op eller sænke placeringer.
DragonRank skiller sig ud fra andre Black Hat SEO-grupper på grund af sin tilgang til at bryde yderligere servere inden for målets netværk. Det bevarer kontrol over disse servere ved hjælp af PlugX, en bagdør, der almindeligvis bruges af kinesiske trusselsaktører, og forskellige legitimationsindsamlingsværktøjer som Mimikatz , PrintNotifyPotato, BadPotato og GodPotato.
Ondsindede teknikker og online tilstedeværelse
PlugX-malwaren, der bruges i disse angreb, anvender DLL-sideindlæsningsteknikker. Indlæser-DLL'en, der initierer den krypterede nyttelast, bruger Windows Structured Exception Handling (SEH)-mekanismen til at sikre, at den legitime fil (dvs. den binære fil, der er tilbøjelig til DLL-sideindlæsning) kan indlæse PlugX uden at udløse sikkerhedsadvarsler.
Forskere har fundet beviser for, at trusselsaktøren opererer på Telegram under håndtaget 'tttseo' og på QQ instant messaging-appen, hvor de udfører ulovlige forretningstransaktioner med kunder. De leverer også, hvad der ser ud til at være kundeservice af høj kvalitet, og skaber salgsfremmende strategier, der er skræddersyet til deres kunders behov.
Kunder kan indsende søgeord og websteder, de ønsker at promovere, og DragonRank designer en strategi baseret på disse specifikationer. Gruppen fokuserer også på at målrette kampagner for specifikke lande og sprog, og tilbyder en skræddersyet og grundig tilgang til online markedsføring.