Κακόβουλο λογισμικό BadIIS
Ερευνητές κυβερνοασφάλειας αποκάλυψαν μια εξελιγμένη εκστρατεία δηλητηρίασης SEO, η οποία πιστεύεται ότι διεξάγεται από έναν κινέζικοφωνό απειλητικό παράγοντα. Οι επιθέσεις στοχεύουν κυρίως στην Ανατολική και Νοτιοανατολική Ασία, με ιδιαίτερη έμφαση στο Βιετνάμ. Αυτή η εκστρατεία σχετίζεται με κακόβουλο λογισμικό που ονομάζεται BadIIS και παρακολουθείται με την ονομασία CL-UNK-1037. Αξίζει να σημειωθεί ότι ο απειλητικός παράγοντας παρουσιάζει επικαλύψεις υποδομής και αρχιτεκτονικής με οντότητες που προσδιορίζονται ως Group 9 και DragonRank.
Πίνακας περιεχομένων
Πώς λειτουργεί η δηλητηρίαση SEO
Η δηλητηρίαση από SEO περιλαμβάνει την χειραγώγηση των αποτελεσμάτων των μηχανών αναζήτησης για να ξεγελάσουν τους χρήστες ώστε να επισκέπτονται απροσδόκητους ή κακόβουλους ιστότοπους, όπως τζόγο ή πύλες περιεχομένου για ενηλίκους, με σκοπό το οικονομικό κέρδος. Σε αυτήν την εκστρατεία, οι εισβολείς εκμεταλλεύονται μια εγγενή ενότητα IIS, την BadIIS, για να προβάλλουν κακόβουλο περιεχόμενο από νόμιμους αλλά παραβιασμένους διακομιστές.
Οι συναρτήσεις BadIIS περιλαμβάνουν:
- Αναχαίτιση και τροποποίηση εισερχόμενης κίνησης HTTP.
- Εισαγωγή λέξεων-κλειδιών και φράσεων σε αξιόπιστους ιστότοπους για χειραγώγηση της κατάταξης στις μηχανές αναζήτησης.
- Επισήμανση επισκεπτών από προγράμματα ανίχνευσης μηχανών αναζήτησης χρησιμοποιώντας την κεφαλίδα User-Agent και ανάκτηση δηλητηριασμένου περιεχομένου από έναν διακομιστή Command-and-Control (C2).
Αυτή η προσέγγιση επιτρέπει σε ιστότοπους που έχουν παραβιαστεί να κατατάσσονται υψηλά σε στοχευμένους όρους αναζήτησης, ανακατευθύνοντας τελικά τους ανυποψίαστους χρήστες σε ιστότοπους απάτης.
Ο Κύκλος Ζωής της Επίθεσης
Η επίθεση δηλητηρίασης SEO ακολουθεί μια διαδικασία πολλαπλών βημάτων:
Δημιουργία του δολώματος : Οι εισβολείς τροφοδοτούν με παραποιημένο περιεχόμενο τα προγράμματα ανίχνευσης των μηχανών αναζήτησης, κάνοντας τον παραβιασμένο ιστότοπο να φαίνεται σχετικός με άσχετους όρους αναζήτησης.
Ρίχνοντας την παγίδα : Τα θύματα που αναζητούν αυτούς τους όρους συναντούν ιστότοπους που μοιάζουν νόμιμοι αλλά έχουν παραβιαστεί, οι οποίοι τους ανακατευθύνουν σε κακόβουλους προορισμούς.
Σε τουλάχιστον ένα γνωστό περιστατικό, οι εισβολείς αξιοποίησαν την πρόσβαση των προγραμμάτων ανίχνευσης μηχανών αναζήτησης για να κλιμακώσουν τις επιθέσεις δημιουργώντας νέους τοπικούς λογαριασμούς, αναπτύσσοντας κελύφη ιστού, αποσπώντας πηγαίο κώδικα και εγκαθιστώντας πρόσθετα εμφυτεύματα BadIIS για μόνιμη απομακρυσμένη πρόσβαση.
Εργαλεία και παραλλαγές που χρησιμοποιήθηκαν
Ο απειλητικός παράγοντας χρησιμοποιεί πολλαπλά εργαλεία και παραλλαγές για να επιτύχει χειραγώγηση SEO και έλεγχο της επισκεψιμότητας:
- Ελαφρύς χειριστής σελίδων ASP.NET για proxying κακόβουλου περιεχομένου.
Όλα τα εμφυτεύματα είναι προσαρμοσμένα για να ελέγχουν τα αποτελέσματα των μηχανών αναζήτησης και τη ροή επισκεψιμότητας, επιδεικνύοντας μια εξαιρετικά συντονισμένη λειτουργία.
Απόδοση και Γλωσσικά Στοιχεία
Οι ερευνητές έχουν μεγάλη εμπιστοσύνη ότι αυτή η δραστηριότητα διεξάγεται από έναν κινέζικοφωνό απειλητικό παράγοντα. Αυτό το συμπέρασμα υποστηρίζεται από:
- Άμεσα γλωσσικά στοιχεία που βρέθηκαν στο κακόβουλο λογισμικό και την υποδομή.
- Αρχιτεκτονικοί και λειτουργικοί σύνδεσμοι που συνδέουν τον δρώντα με το σύμπλεγμα της Ομάδας 9.
Η Επιχείρηση Rewrite αποτελεί παράδειγμα του πώς οι εξελιγμένοι απειλητικοί παράγοντες αξιοποιούν την δηλητηρίαση SEO, τα τρωτά σημεία των IIS και τις παραβιάσεις των διακομιστών ιστού για να ανακατευθύνουν την επισκεψιμότητα και να διεξάγουν επιθέσεις με οικονομικά κίνητρα.
