BadIIS pahavara
Lihtsustatud hiina keeles suhtlev ohutegija on seotud uue kampaaniaga, mis sihib Aasia ja Euroopa riike. Kampaania eesmärk on manipuleerida otsingumootorite asetustega SEO taktika abil. See Black Hat SEO kampaania, mille küberjulgeoleku uurijad nimetasid DragonRankiks, on mõjutanud piirkondi, sealhulgas Tai, India, Lõuna-Korea, Belgia, Holland ja Hiina.
DragonRank ohustab veebirakenduste teenuseid, et juurutada veebikestad, mida seejärel kasutatakse süsteemiteabe kogumiseks ja pahavara (nt PlugX ja BadIIS) edastamiseks. Need rünnakud on viinud 35 Interneti-teabeteenuste (IIS) serveri kompromissini, mille eesmärk on lõpuks installida BadIIS-i pahavara, mis tuvastati esmakordselt 2021. aasta augustis.
Sisukord
Ründajad võtavad üle ohustatud IIS-i serverid
Pahavara on spetsiaalselt loodud puhverserveri ja SEO-pettuste hõlbustamiseks, muutes ohustatud IIS-serveri ülekandepunktiks petturlikuks suhtluseks ohus osalejate ja nende ohvrite vahel. Lisaks võib see muuta otsingumootoritele edastatavat sisu, et manipuleerida algoritmidega ja parandada ründajate sihitud veebisaitide järjestust.
Üks uurimise silmatorkavamaid leide on IIS-i pahavara mitmekülgsus, eriti selle kasutamisel SEO-pettusteks. Seda pahavara kasutatakse otsingumootori algoritmidega manipuleerimiseks, mis parandab kolmandate osapoolte veebisaitide nähtavust ja mainet.
Viimased teadlaste paljastatud rünnakud hõlmavad paljusid tööstusharusid, sealhulgas juveelitööstus, meedia, uurimisteenused, tervishoid, video- ja televisiooni tootmine, tootmine, transport, usulised ja vaimsed organisatsioonid, IT-teenused, rahvusvahelised suhted, põllumajandus, sport ja isegi feng. shui.
DragonRankile omistatud rünnakuahel
Rünnak algab veebirakenduste (nt phpMyAdmin ja WordPress) teadaolevate turvaaukude ärakasutamisega, et juurutada avatud lähtekoodiga ASPXspy veebikesta. See veebikest toimib seejärel lüüsina täiendavate tööriistade lisamiseks sihtkeskkonda.
Kampaania peamine eesmärk on kompromiteerida ettevõtete veebisaite hostivaid IIS-i servereid. Ründajad kasutavad neid servereid BadIIS-i pahavara installimiseks, kasutades neid ümber petturlike tegevuste platvormidena, mis sageli hõlmavad pornograafia ja seksiga seotud märksõnu.
Pahavara märkimisväärne omadus on selle võime kehastuda Google'i otsingumootori roomajaks selle kasutajaagendi stringis, kui ühendub Command-and-Control (C2) serveriga. See taktika aitab tal vältida mõningaid veebisaidi turvameetmeid.
Ohutegijad tegelevad SEO manipuleerimisega
Ohustaja manipuleerib SEO-ga, kasutades või muutes otsingumootori algoritme, et tõsta veebisaidi asetust otsingutulemustes. Seda tehakse selleks, et suunata liiklust petturlikele saitidele, suurendada petturliku sisu nähtavust või häirida konkurente, suurendades või langetades pingerida kunstlikult.
DragonRank paistab teistest Black Hat SEO gruppidest silma tänu oma lähenemisviisile rikkuda sihtmärgi võrgus olevaid täiendavaid servereid. See säilitab kontrolli nende serverite üle, kasutades PlugX-i, tagaust, mida tavaliselt kasutavad Hiina ohus osalejad, ja mitmesuguseid mandaadi kogumise tööriistu, nagu Mimikatz , PrintNotifyPotato, BadPotato ja GodPotato.
Pahatahtlikud tehnikad ja võrgus viibimine
Nendes rünnakutes kasutatav PlugX pahavara kasutab DLL-i külglaadimise tehnikaid. Laadija DLL, mis käivitab krüptitud kasuliku koormuse, kasutab Windowsi struktureeritud erandite käsitlemise (SEH) mehhanismi, et tagada legitiimne fail (st DLL-i külglaadimisele kalduv binaarfail) saab laadida PlugX-i ilma turbehoiatusteta.
Teadlased on leidnud tõendeid selle kohta, et ohustaja tegutseb Telegramis käepideme "tttseo" all ja QQ kiirsuhtlusrakenduses, kus nad teevad klientidega ebaseaduslikke äritehinguid. Samuti pakuvad nad kvaliteetset klienditeenindust, luues oma klientide vajadustele kohandatud reklaamistrateegiaid.
Kliendid saavad esitada märksõnu ja veebisaite, mida nad soovivad reklaamida, ning DragonRank kujundab nende spetsifikatsioonide põhjal strateegia. Rühm keskendub ka konkreetsete riikide ja keelte reklaamide sihtimisele, pakkudes kohandatud ja põhjalikku lähenemist veebiturundusele.
