BadIIS pahavara
Küberturvalisuse uurijad on paljastanud keeruka SEO mürgitamiskampaania, mida arvatakse läbiviivat hiina keelt kõneleva ohutegelase poolt. Rünnakud on suunatud peamiselt Ida- ja Kagu-Aasiale, eriti Vietnamile. See kampaania on seotud pahavaraga nimega BadIIS ja seda jälgitakse nime CL-UNK-1037 all. Märkimisväärne on see, et ohutegelase infrastruktuur ja arhitektuur kattuvad üksustega, mis on identifitseeritud kui Group 9 ja DragonRank.
Sisukord
Kuidas SEO mürgistus toimib
SEO mürgitamine hõlmab otsingumootori tulemuste manipuleerimist, et meelitada kasutajaid rahalise kasu saamiseks ootamatuid või pahatahtlikke veebisaite, näiteks hasartmängu- või täiskasvanutele mõeldud sisuportaale. Selles kampaanias kasutavad ründajad ära IIS-i natiivset moodulit BadIIS, et pakkuda pahatahtlikku sisu legitiimsetest, kuid ohustatud serveritest.
BadIIS-i funktsioonide hulka kuuluvad:
- Sissetuleva HTTP-liikluse pealtkuulamine ja muutmine.
- Märksõnade ja fraaside süstimine usaldusväärsetele veebisaitidele otsingumootorite paremusjärjestuse manipuleerimiseks.
- Otsingumootorite robotite külastajate märgistamine kasutajaagendi päise abil ja mürgitatud sisu hankimine käsu- ja juhtimisserverist (C2).
See lähenemisviis võimaldab ohustatud veebisaitidel sihitud otsinguterminite puhul kõrgel kohal olla, suunates lõpuks pahaaimamatud kasutajad petuskeemisaitidele.
Rünnaku elutsükkel
SEO mürgistusrünnak järgib mitmeastmelist protsessi:
Peibutusmängu loomine : Ründajad edastavad otsingumootorite robotitele manipuleeritud sisu, muutes ohustatud veebisaidi asjakohaseks mitteseotud otsinguterminite puhul.
Lõksu avamine : Nende terminite otsingul satuvad ohvrid küll usaldusväärse välimusega, kuid ohustatud saitidele, mis suunavad nad pahatahtlikele sihtkohtadele.
Vähemalt ühes teadaolevas juhtumis kasutasid ründajad otsingumootorite robotite juurdepääsu rünnakute eskaleerimiseks, luues uusi kohalikke kontosid, juurutades veebikestasid, filtreerides lähtekoodi ja installides püsiva kaugjuurdepääsu tagamiseks täiendavaid BadIIS-implantaate.
Kasutatud tööriistad ja variandid
Ohu tegija kasutab SEO manipuleerimiseks ja liikluse juhtimiseks mitmeid tööriistu ja variante:
- Kerge ASP.NET lehekäitleja pahatahtliku sisu puhverserveriks.
- Hallatud .NET IIS-moodul päringute kontrollimiseks/muutmiseks ja rämpsposti linkide/märksõnade sisestamiseks.
- Kõik-ühes PHP skript, mis ühendab kasutajate ümbersuunamise ja dünaamilise SEO mürgitamise.
Kõik implantaadid on kohandatud otsingumootori tulemuste ja liiklusvoo juhtimiseks, mis näitab väga koordineeritud tegevust.
Atributsioon ja keeleline tõendusmaterjal
Teadlastel on suur kindlustunne, et seda tegevust korraldab hiinakeelne ohutegija. Seda järeldust toetab:
- Pahavarast ja infrastruktuurist leiti otseseid keelelisi tõendeid.
- Arhitektuurilised ja operatiivsed seosed, mis ühendavad osalejat 9. grupi klastriga.
Operatsioon Rewrite on hea näide sellest, kuidas keerukad ohutegijad kasutavad ära SEO mürgitamist, IIS-i haavatavusi ja veebiserverite ohtusid liikluse ümbersuunamiseks ja rahaliselt motiveeritud rünnakute läbiviimiseks.
