بدافزار BadIIS

یک عامل تهدید که به زبان چینی ساده شده ارتباط برقرار می کند، با کمپین جدیدی مرتبط شده است که کشورهای سراسر آسیا و اروپا را هدف قرار می دهد. هدف این کمپین دستکاری رتبه بندی موتورهای جستجو از طریق تاکتیک های سئو است. این کمپین سئو کلاه سیاه که توسط محققان امنیت سایبری DragonRank نامیده می شود، مناطقی از جمله تایلند، هند، کره جنوبی، بلژیک، هلند و چین را تحت تاثیر قرار داده است.

DragonRank خدمات برنامه وب را برای استقرار پوسته های وب به خطر می اندازد، که سپس برای جمع آوری اطلاعات سیستم و ارائه بدافزارهایی مانند PlugX و BadIIS استفاده می شود. این حملات منجر به به خطر افتادن 35 سرور خدمات اطلاعات اینترنتی (IIS) شده است که در نهایت با هدف نصب بدافزار BadIIS، اولین بار در آگوست 2021 شناسایی شد.

مهاجمان سرورهای IIS در معرض خطر را تصاحب می کنند

این بدافزار به‌طور خاص طراحی شده است تا با تبدیل سرور IIS آسیب‌دیده به یک نقطه رله برای ارتباطات جعلی بین عوامل تهدید و قربانیان آنها، تقلب در ابزار پروکسی و سئو را تسهیل کند. علاوه بر این، می تواند محتوای ارائه شده به موتورهای جستجو را برای دستکاری الگوریتم ها و بهبود رتبه بندی وب سایت های مورد هدف مهاجمان تغییر دهد.

یکی از بارزترین یافته‌های این تحقیق، تطبیق پذیری بدافزار IIS، به ویژه در استفاده از آن برای تقلب در سئو است. این بدافزار برای دستکاری الگوریتم های موتورهای جستجو، افزایش دید و شهرت وب سایت های شخص ثالث مورد سوء استفاده قرار می گیرد.

جدیدترین حملات کشف شده توسط محققان طیف وسیعی از صنایع از جمله جواهرات، رسانه ها، خدمات تحقیقاتی، مراقبت های بهداشتی، تولید ویدئو و تلویزیون، تولید، حمل و نقل، سازمان های مذهبی و معنوی، خدمات فناوری اطلاعات، امور بین الملل، کشاورزی، ورزش و حتی فنگ را در بر می گیرد. شویی

زنجیره حمله منتسب به DragonRank

این حمله با بهره برداری از آسیب پذیری های شناخته شده در برنامه های کاربردی وب مانند phpMyAdmin و WordPress برای استقرار پوسته وب منبع باز ASPXspy آغاز می شود. این پوسته وب سپس به عنوان دروازه ای برای معرفی ابزارهای اضافی به محیط هدف عمل می کند.

هدف اصلی این کمپین به خطر انداختن سرورهای IIS میزبان وب سایت های شرکتی است. مهاجمان از این سرورها برای نصب بدافزار BadIIS استفاده می‌کنند و آنها را به عنوان پلتفرم‌هایی برای فعالیت‌های کلاه‌برانگیز، که اغلب شامل کلمات کلیدی مرتبط با هرزه‌نگاری و جنسی می‌شوند، تغییر کاربری می‌دهند.

ویژگی قابل توجه این بدافزار توانایی آن در جعل هویت خزنده موتور جستجوی Google در رشته User-Agent آن هنگام اتصال به سرور Command-and-Control (C2) است. این تاکتیک به آن کمک می کند تا از برخی اقدامات امنیتی وب سایت فرار کند.

بازیگران تهدید درگیر دستکاری سئو می شوند

عامل تهدید با بهره برداری یا تغییر الگوریتم های موتورهای جستجو برای افزایش رتبه وب سایت در نتایج جستجو، سئو را دستکاری می کند. این کار برای هدایت ترافیک به سایت‌های جعلی، افزایش دید محتوای جعلی، یا ایجاد اختلال در رقبا با افزایش مصنوعی یا کاهش تورم رتبه‌بندی انجام می‌شود.

DragonRank از دیگر گروه‌های سئو کلاه سیاه به دلیل رویکردش برای نفوذ به سرورهای اضافی در شبکه هدف متمایز است. کنترل این سرورها را با استفاده از PlugX حفظ می‌کند، درب پشتی که معمولاً توسط عوامل تهدید چینی استفاده می‌شود، و ابزارهای مختلف جمع‌آوری اعتبار مانند Mimikatz ، PrintNotifyPotato، BadPotato و GodPotato.

تکنیک های مخرب و حضور آنلاین

بدافزار PlugX مورد استفاده در این حملات از تکنیک های بارگذاری جانبی DLL استفاده می کند. DLL بارگیری که بار رمزگذاری شده را آغاز می کند، از مکانیزم Windows Structured Exception Handling (SEH) استفاده می کند تا اطمینان حاصل کند که فایل قانونی (یعنی باینری مستعد بارگذاری جانبی DLL) می تواند PlugX را بدون ایجاد هیچ گونه هشدار امنیتی بارگذاری کند.

محققان شواهدی پیدا کرده‌اند که نشان می‌دهد عامل تهدید در تلگرام تحت دسته «tttseo» و در برنامه پیام‌رسانی فوری QQ، جایی که تراکنش‌های تجاری غیرقانونی با مشتریان انجام می‌دهد، فعالیت می‌کند. آنها همچنین خدماتی را که به نظر می رسد با کیفیت بالا به مشتریان ارائه می دهند، ایجاد می کنند و استراتژی های تبلیغاتی متناسب با نیازهای مشتریان خود ایجاد می کنند.

مشتریان می توانند کلمات کلیدی و وب سایت هایی را که می خواهند تبلیغ کنند ارسال کنند و DragonRank استراتژی را بر اساس این مشخصات طراحی می کند. این گروه همچنین بر هدف قرار دادن تبلیغات برای کشورها و زبان‌های خاص تمرکز می‌کند و یک رویکرد سفارشی و کامل برای بازاریابی آنلاین ارائه می‌کند.