BadIIS-haittaohjelma
Uhkatoimija, joka kommunikoi yksinkertaistetulla kiinalla, on yhdistetty uuteen kampanjaan, joka on kohdistettu Aasian ja Euroopan maihin. Kampanjan tavoitteena on manipuloida hakukonesijoituksia SEO-taktiikoilla. Tämä Black Hat SEO -kampanja, jota kyberturvallisuustutkijat kutsuvat DragonRankiksi, on vaikuttanut alueisiin, kuten Thaimaahan, Intiaan, Etelä-Koreaan, Belgiaan, Alankomaihin ja Kiinaan.
DragonRank vaarantaa verkkosovelluspalvelut ottaakseen käyttöön Web-kuoret, joita käytetään sitten järjestelmätietojen keräämiseen ja haittaohjelmien, kuten PlugX ja BadIIS, toimittamiseen. Nämä hyökkäykset ovat johtaneet 35 Internet Information Services (IIS) -palvelimen kompromissiin, joiden viime kädessä tavoitteena on asentaa BadIIS-haittaohjelma, joka tunnistettiin ensimmäisen kerran elokuussa 2021.
Sisällysluettelo
Hyökkääjät ottavat haltuunsa vaarantuneet IIS-palvelimet
Haittaohjelma on erityisesti suunniteltu helpottamaan välityspalvelin- ja SEO-petoksia muuntamalla vaarantunut IIS-palvelin välityspisteeksi uhkatekijöiden ja heidän uhriensa välistä petollista viestintää varten. Lisäksi se voi muuttaa hakukoneille tarjottavaa sisältöä algoritmien manipuloimiseksi ja hyökkääjien kohteena olevien verkkosivustojen sijoituksen parantamiseksi.
Yksi tutkimuksen silmiinpistävimmistä havainnoista on IIS-haittaohjelmien monipuolisuus, erityisesti sen käyttö SEO-petokseen. Tätä haittaohjelmaa käytetään manipuloimaan hakukonealgoritmeja, mikä parantaa kolmansien osapuolten verkkosivustojen näkyvyyttä ja mainetta.
Viimeisimmät tutkijoiden paljastamat hyökkäykset kattavat monenlaisia toimialoja, mukaan lukien korut, media, tutkimuspalvelut, terveydenhuolto, video- ja televisiotuotanto, valmistus, kuljetus, uskonnolliset ja hengelliset organisaatiot, IT-palvelut, kansainväliset asiat, maatalous, urheilu ja jopa feng shui.
DragonRankin hyökkäysketju
Hyökkäys alkaa hyödyntämällä tunnettuja haavoittuvuuksia web-sovelluksissa, kuten phpMyAdminissa ja WordPressissä, avoimen lähdekoodin ASPXspy-verkkokuoren käyttöönottamiseksi. Tämä Web-kuori toimii sitten yhdyskäytävänä lisätyökalujen tuomiseksi kohdeympäristöön.
Kampanjan päätavoite on vaarantaa yritysten verkkosivuja isännöivät IIS-palvelimet. Hyökkääjät käyttävät näitä palvelimia BadIIS-haittaohjelmien asentamiseen ja käyttävät ne uudelleen alustoiksi petollisiin toimiin, joihin liittyy usein pornografiaan ja seksiin liittyviä avainsanoja.
Haittaohjelman merkittävä ominaisuus on sen kyky jäljitellä Googlen hakukoneen indeksointirobottia sen User-Agent-merkkijonossa, kun se muodostaa yhteyden Command-and-Control (C2) -palvelimeen. Tämä taktiikka auttaa sitä välttämään joitain verkkosivustojen turvatoimia.
Uhkatoimijat osallistuvat hakukoneoptimoinnin manipulointiin
Uhkatoimija manipuloi hakukoneoptimointia hyödyntämällä tai muuttamalla hakukonealgoritmeja parantaakseen verkkosivuston sijoitusta hakutuloksissa. Tällä pyritään ohjaamaan liikennettä petollisille sivustoille, lisäämään vilpillisen sisällön näkyvyyttä tai häiritsemään kilpailijoita lisäämällä tai alentamalla sijoituksia keinotekoisesti.
DragonRank erottuu muista Black Hat SEO -ryhmistä, koska sen lähestymistapa rikkoo lisäpalvelimia kohteen verkossa. Se ylläpitää näiden palvelimien hallintaa käyttämällä PlugX:ää, kiinalaisten uhkatoimijoiden yleisesti käyttämää takaovea, ja erilaisia tunnistetietojen keruutyökaluja, kuten Mimikatz , PrintNotifyPotato, BadPotato ja GodPotato.
Haitalliset tekniikat ja online-läsnäolo
Näissä hyökkäyksissä käytetty PlugX-haittaohjelma käyttää DLL-sivulataustekniikoita. Lataus-DLL, joka käynnistää salatun hyötykuorman, käyttää SEH-mekanismia (Windows Structured Exception Handling) varmistaakseen, että laillinen tiedosto (eli DLL-sivulataukselle altis binääri) voi ladata PlugX:n laukaisematta mitään suojausvaroituksia.
Tutkijat ovat löytäneet todisteita siitä, että uhkatekijä toimii Telegramissa kahvan "tttseo" alla ja QQ-pikaviestisovelluksessa, jossa he tekevät laittomia liiketoimia asiakkaiden kanssa. Ne tarjoavat myös laadukkaalta näyttävää asiakaspalvelua ja luovat asiakkaiden tarpeisiin räätälöityjä myynninedistämisstrategioita.
Asiakkaat voivat lähettää avainsanoja ja verkkosivustoja, joita he haluavat mainostaa, ja DragonRank suunnittelee strategian näiden spesifikaatioiden perusteella. Ryhmä keskittyy myös kampanjoiden kohdistamiseen tietyille maille ja kielille tarjoten räätälöidyn ja perusteellisen lähestymistavan verkkomarkkinointiin.
