بدافزار BadIIS

محققان امنیت سایبری یک کمپین پیچیده مسمومیت سئو را کشف کرده‌اند که گمان می‌رود توسط یک عامل تهدید چینی زبان انجام شده باشد. این حملات در درجه اول شرق و جنوب شرقی آسیا را با تمرکز ویژه بر ویتنام هدف قرار می‌دهند. این کمپین با بدافزاری به نام BadIIS مرتبط است و با نام CL-UNK-1037 ردیابی می‌شود. نکته قابل توجه این است که عامل تهدید، همپوشانی‌های زیرساختی و معماری با موجودیت‌های شناخته شده به عنوان گروه ۹ و DragonRank را نشان می‌دهد.

مسمومیت سئو چگونه کار می‌کند؟

مسمومیت سئو شامل دستکاری نتایج موتور جستجو برای فریب کاربران به بازدید از وب‌سایت‌های غیرمنتظره یا مخرب، مانند قمار یا پورتال‌های محتوای بزرگسالان، برای کسب سود مالی است. در این کمپین، مهاجمان از یک ماژول IIS بومی، BadIIS، برای ارائه محتوای مخرب از سرورهای قانونی اما آسیب‌پذیر سوءاستفاده می‌کنند.

توابع BadIIS عبارتند از:

• رهگیری و تغییر ترافیک HTTP ورودی.
• تزریق کلمات کلیدی و عبارات کلیدی به وب‌سایت‌های معتبر برای دستکاری رتبه‌بندی موتورهای جستجو.
• علامت‌گذاری بازدیدکنندگان از خزنده‌های موتور جستجو با استفاده از هدر User-Agent و دریافت محتوای مسموم از یک سرور Command-and-Control (C2).

این رویکرد به وب‌سایت‌های آسیب‌دیده اجازه می‌دهد تا برای عبارات جستجوی هدفمند رتبه بالایی کسب کنند و در نهایت کاربران ناآگاه را به سایت‌های کلاهبرداری هدایت کنند.

چرخه حیات حمله

حمله مسمومیت سئو از یک فرآیند چند مرحله‌ای پیروی می‌کند:

ایجاد جذابیت : مهاجمان محتوای دستکاری‌شده را به خزنده‌های موتور جستجو می‌دهند و باعث می‌شوند وب‌سایت آسیب‌دیده برای عبارات جستجوی نامرتبط مرتبط به نظر برسد.

به دام انداختن : قربانیانی که این عبارات را جستجو می‌کنند، با سایت‌های ظاهراً قانونی اما آلوده مواجه می‌شوند که آنها را به مقاصد مخرب هدایت می‌کند.

حداقل در یک حادثه شناخته‌شده، مهاجمان با ایجاد حساب‌های کاربری محلی جدید، استقرار پوسته‌های وب، استخراج کد منبع و نصب بدافزارهای BadIIS اضافی برای دسترسی از راه دور مداوم، از دسترسی خزنده‌های موتور جستجو برای تشدید حملات استفاده کردند.

ابزارها و انواع مورد استفاده

عامل تهدید از ابزارها و انواع مختلفی برای دستیابی به دستکاری سئو و کنترل ترافیک استفاده می‌کند:

• کنترل‌کننده‌ی سبک صفحات ASP.NET برای پروکسی کردن محتوای مخرب.

تمام ایمپلنت‌ها برای کنترل نتایج موتورهای جستجو و جریان ترافیک سفارشی‌سازی شده‌اند که نشان‌دهنده‌ی یک عملیات بسیار هماهنگ است.

اسناد و شواهد زبانی

محققان اطمینان بالایی دارند که این فعالیت توسط یک عامل تهدید چینی زبان هدایت می‌شود. این نتیجه‌گیری با موارد زیر پشتیبانی می‌شود:

• شواهد زبانی مستقیم موجود در بدافزار و زیرساخت.
• پیوندهای معماری و عملیاتی که بازیگر را به خوشه گروه ۹ متصل می‌کنند.

عملیات بازنویسی (Operation Rewrite) نمونه‌ای از چگونگی سوءاستفاده‌ی مهاجمان پیچیده از مسمومیت سئو (SEO Poisoning)، آسیب‌پذیری‌های IIS و نفوذ به سرورهای وب برای هدایت ترافیک و انجام حملات با انگیزه‌های مالی است.