Κακόβουλο λογισμικό BadIIS

Ένας παράγοντας απειλής που επικοινωνεί στα απλοποιημένα κινέζικα έχει συνδεθεί με μια νέα εκστρατεία που στοχεύει χώρες σε όλη την Ασία και την Ευρώπη. Στόχος της καμπάνιας είναι να χειραγωγήσει την κατάταξη στις μηχανές αναζήτησης μέσω τακτικών SEO. Αυτή η καμπάνια Black Hat SEO, που ονομάστηκε DragonRank από ερευνητές στον τομέα της κυβερνοασφάλειας, έχει επηρεάσει περιοχές όπως η Ταϊλάνδη, η Ινδία, η Νότια Κορέα, το Βέλγιο, η Ολλανδία και η Κίνα.

Το DragonRank θέτει σε κίνδυνο τις υπηρεσίες εφαρμογών Ιστού για να αναπτύξει κελύφη Ιστού, τα οποία στη συνέχεια χρησιμοποιούνται για τη συλλογή πληροφοριών συστήματος και την παράδοση κακόβουλου λογισμικού όπως το PlugX και το BadIIS. Αυτές οι επιθέσεις οδήγησαν στον παραβιασμό 35 διακομιστών Υπηρεσιών Πληροφοριών Διαδικτύου (IIS), με τελικό στόχο την εγκατάσταση κακόβουλου λογισμικού BadIIS, που εντοπίστηκε για πρώτη φορά τον Αύγουστο του 2021.

Οι εισβολείς αναλαμβάνουν παραβιασμένους διακομιστές IIS

Το κακόβουλο λογισμικό έχει σχεδιαστεί ειδικά για να διευκολύνει το λογισμικό μεσολάβησης και την απάτη SEO μετατρέποντας τον παραβιασμένο διακομιστή IIS σε σημείο αναμετάδοσης για δόλιες επικοινωνίες μεταξύ των παραγόντων απειλών και των θυμάτων τους. Επιπλέον, μπορεί να αλλάξει το περιεχόμενο που προβάλλεται στις μηχανές αναζήτησης για να χειριστεί αλγόριθμους και να βελτιώσει την κατάταξη των ιστοτόπων που στοχεύουν οι εισβολείς.

Ένα από τα πιο εντυπωσιακά ευρήματα της έρευνας είναι η ευελιξία του κακόβουλου λογισμικού IIS, ιδιαίτερα στη χρήση του για απάτη SEO. Αυτό το κακόβουλο λογισμικό χρησιμοποιείται για τον χειρισμό αλγορίθμων μηχανών αναζήτησης, ενισχύοντας την ορατότητα και τη φήμη ιστοτόπων τρίτων.

Οι πιο πρόσφατες επιθέσεις που αποκαλύφθηκαν από ερευνητές καλύπτουν ένα ευρύ φάσμα βιομηχανιών, συμπεριλαμβανομένων κοσμημάτων, μέσων ενημέρωσης, ερευνητικών υπηρεσιών, υγειονομικής περίθαλψης, παραγωγής βίντεο και τηλεόρασης, κατασκευής, μεταφορών, θρησκευτικών και πνευματικών οργανώσεων, υπηρεσιών πληροφορικής, διεθνών υποθέσεων, γεωργίας, αθλητισμού, ακόμη και φενγκ σούι.

Αλυσίδα επίθεσης που αποδίδεται στο DragonRank

Η επίθεση ξεκινά με την εκμετάλλευση γνωστών τρωτών σημείων σε εφαρμογές Ιστού όπως το phpMyAdmin και το WordPress για την ανάπτυξη του κελύφους ιστού ASPXspy ανοιχτού κώδικα. Αυτό το κέλυφος Ιστού χρησιμεύει στη συνέχεια ως πύλη για την εισαγωγή πρόσθετων εργαλείων στο περιβάλλον στόχο.

Ο κύριος στόχος της καμπάνιας είναι να θέσει σε κίνδυνο τους διακομιστές IIS που φιλοξενούν εταιρικούς ιστότοπους. Οι εισβολείς χρησιμοποιούν αυτούς τους διακομιστές για να εγκαταστήσουν κακόβουλο λογισμικό BadIIS, επαναχρησιμοποιώντας τους ως πλατφόρμες για δόλιες δραστηριότητες, που συχνά περιλαμβάνουν λέξεις-κλειδιά που σχετίζονται με την πορνογραφία και το σεξ.

Ένα αξιοσημείωτο χαρακτηριστικό του κακόβουλου λογισμικού είναι η ικανότητά του να μιμείται το πρόγραμμα ανίχνευσης της μηχανής αναζήτησης της Google στη συμβολοσειρά User-Agent του κατά τη σύνδεση στον διακομιστή Command-and-Control (C2). Αυτή η τακτική το βοηθά να αποφύγει ορισμένα μέτρα ασφαλείας ιστότοπου.

Οι ηθοποιοί απειλών εμπλέκονται σε χειραγώγηση SEO

Ο παράγοντας απειλών χειραγωγεί το SEO εκμεταλλευόμενος ή τροποποιώντας αλγόριθμους μηχανών αναζήτησης για να ενισχύσει την κατάταξη ενός ιστότοπου στα αποτελέσματα αναζήτησης. Αυτό γίνεται για να οδηγηθεί η επισκεψιμότητα σε δόλιες τοποθεσίες, να αυξηθεί η ορατότητα του δόλιου περιεχομένου ή να διαταραχθούν οι ανταγωνιστές διογκώνοντας ή αποπληθωρίζοντας τεχνητά τις ταξινομήσεις.

Το DragonRank ξεχωρίζει από άλλες ομάδες Black Hat SEO λόγω της προσέγγισής του για παραβίαση πρόσθετων διακομιστών εντός του δικτύου του στόχου. Διατηρεί τον έλεγχο αυτών των διακομιστών χρησιμοποιώντας το PlugX, μια κερκόπορτα που χρησιμοποιείται συνήθως από κινέζους φορείς απειλών, και διάφορα εργαλεία συλλογής διαπιστευτηρίων όπως το Mimikatz , το PrintNotifyPotato, το BadPotato και το GodPotato.

Κακόβουλες τεχνικές και διαδικτυακή παρουσία

Το κακόβουλο λογισμικό PlugX που χρησιμοποιείται σε αυτές τις επιθέσεις χρησιμοποιεί τεχνικές πλευρικής φόρτωσης DLL. Το DLL φορτωτή που εκκινεί το κρυπτογραφημένο ωφέλιμο φορτίο χρησιμοποιεί τον μηχανισμό χειρισμού δομημένων εξαιρέσεων (SEH) των Windows για να διασφαλίσει ότι το νόμιμο αρχείο (δηλαδή το δυαδικό επιρρεπές σε πλευρική φόρτωση DLL) μπορεί να φορτώσει το PlugX χωρίς να ενεργοποιήσει ειδοποιήσεις ασφαλείας.

Οι ερευνητές βρήκαν στοιχεία ότι ο παράγοντας της απειλής δραστηριοποιείται στο Telegram με τη λαβή «tttseo» και στην εφαρμογή άμεσων μηνυμάτων QQ, όπου πραγματοποιεί παράνομες επιχειρηματικές συναλλαγές με πελάτες. Παρέχουν επίσης αυτό που φαίνεται να είναι υψηλής ποιότητας εξυπηρέτηση πελατών, δημιουργώντας στρατηγικές προώθησης προσαρμοσμένες στις ανάγκες των πελατών τους.

Οι πελάτες μπορούν να υποβάλουν λέξεις-κλειδιά και ιστότοπους που θέλουν να προωθήσουν και το DragonRank σχεδιάζει μια στρατηγική με βάση αυτές τις προδιαγραφές. Η ομάδα εστιάζει επίσης στη στόχευση προωθήσεων για συγκεκριμένες χώρες και γλώσσες, προσφέροντας μια προσαρμοσμένη και διεξοδική προσέγγιση στο διαδικτυακό μάρκετινγκ.