BadIIS-haittaohjelma
Kyberturvallisuustutkijat ovat paljastaneet hienostuneen hakukoneoptimoinnin (SEO) hyökkäyskampanjan, jonka uskotaan olevan kiinaa puhuvan uhkatoimijan toteuttama. Hyökkäykset kohdistuvat pääasiassa Itä- ja Kaakkois-Aasiaan, erityisesti Vietnamiin. Kampanja liittyy BadIIS-nimiseen haittaohjelmaan, jota seurataan nimellä CL-UNK-1037. Uhkatoimijalla on infrastruktuurin ja arkkitehtuurin päällekkäisyyksiä Group 9:n ja DragonRank-nimisten toimijoiden kanssa.
Sisällysluettelo
Miten SEO-myrkytys toimii
SEO-myrkytys tarkoittaa hakukoneiden tulosten manipulointia, jolla käyttäjät huijataan käymään odottamattomilla tai haitallisilla verkkosivustoilla, kuten uhkapeli- tai aikuisviihdeportaaleilla, taloudellisen hyödyn tavoittelemiseksi. Tässä kampanjassa hyökkääjät hyödyntävät IIS:n natiivia BadIIS-moduulia tarjotakseen haitallista sisältöä laillisilta mutta vaarantuneilta palvelimilta.
BadIIS-funktioihin kuuluvat:
- Saapuvan HTTP-liikenteen sieppaaminen ja muokkaaminen.
- Avainsanojen ja -lauseiden lisääminen hyvämaineisille verkkosivustoille hakukoneiden sijoitusten manipuloimiseksi.
- Hakukoneiden indeksointirobottien vierailijoiden merkitseminen User-Agent-otsikon avulla ja saastuneen sisällön hakeminen Command-and-Control (C2) -palvelimelta.
Tämä lähestymistapa mahdollistaa vaarantuneiden verkkosivustojen sijoittumisen korkealle kohdennetuilla hakusanoilla, mikä lopulta ohjaa tietämättömät käyttäjät huijaussivustoille.
Hyökkäyksen elinkaari
SEO-myrkytyshyökkäys seuraa monivaiheista prosessia:
Houkutuksen rakentaminen : Hyökkääjät syöttävät hakukoneiden indeksointiroboteille manipuloitua sisältöä, jolloin vaarantunut verkkosivusto näyttää olevan relevantti epäolennaisille hakusanoille.
Ansan laukaiseminen : Näillä termeillä etsivät uhrit törmäävät laillisen näköisiin mutta vaarantuneisiin sivustoihin, jotka ohjaavat heidät haitallisiin kohteisiin.
Ainakin yhdessä tunnetussa tapauksessa hyökkääjät hyödynsivät hakukoneiden indeksointirobottien pääsyä hyökkäysten laajentamiseen luomalla uusia paikallisia tilejä, ottamalla käyttöön web-kuoria, vuotamalla lähdekoodia ja asentamalla lisää BadIIS-implantteja pysyvää etäkäyttöä varten.
Käytetyt työkalut ja variantit
Uhkatoimija käyttää useita työkaluja ja muunnelmia SEO-manipulointiin ja liikenteen hallintaan:
- Kevyt ASP.NET-sivunkäsittelijä haitallisen sisällön välityspalvelimelle.
- Hallittu .NET IIS -moduuli pyyntöjen tarkastamiseen/muokkaamiseen ja roskapostilinkkien/avainsanojen lisäämiseen.
- Kaikki yhdessä PHP-skriptissä, joka yhdistää käyttäjien uudelleenohjauksen ja dynaamisen SEO-poisoningin.
Kaikki implantit on räätälöity hallitsemaan hakukoneiden tuloksia ja liikennevirtaa, mikä osoittaa erittäin koordinoitua toimintaa.
Attribuutio ja kielitieteellinen todistusaineisto
Tutkijoilla on vahva luottamus siihen, että tätä toimintaa harjoittaa kiinaa puhuva uhkatoimija. Tätä johtopäätöstä tukevat seuraavat seikat:
- Suoraa kielellistä näyttöä löytyi haittaohjelmasta ja infrastruktuurista.
- Arkkitehtoniset ja toiminnalliset linkit, jotka yhdistävät toimijan Group 9 -klusteriin.
Operation Rewrite havainnollistaa, kuinka kehittyneet uhkatoimijat hyödyntävät hakukoneoptimoinnin myrkytyksiä, IIS-haavoittuvuuksia ja verkkopalvelimien vaarantumisia liikenteen uudelleenohjaamiseen ja taloudellisesti motivoituneiden hyökkäysten tekemiseen.
