BadIIS Malware

שחקן איום שמתקשר בסינית פשוטה נקשר לקמפיין חדש שמכוון למדינות ברחבי אסיה ואירופה. מטרת הקמפיין היא לתמרן את דירוג מנועי החיפוש באמצעות טקטיקות SEO. קמפיין קידום אתרים ב-Black Hat, שזכה לכינוי DragonRank על ידי חוקרי אבטחת סייבר, השפיע על אזורים כולל תאילנד, הודו, דרום קוריאה, בלגיה, הולנד וסין.

DragonRank מתפשר על שירותי יישומי אינטרנט כדי לפרוס קונכיות אינטרנט, אשר משמשות לאחר מכן לאיסוף מידע מערכת ולספק תוכנות זדוניות כמו PlugX ו-BadIIS. התקפות אלו הובילו לפשרה של 35 שרתי Internet Information Services (IIS), שמטרתם בסופו של דבר להתקין תוכנה זדונית של BadIIS, שזוהתה לראשונה באוגוסט 2021.

תוקפים משתלטים על שרתי IIS שנפגעו

התוכנה הזדונית תוכננה במיוחד כדי להקל על תוכנת פרוקסי והונאת SEO על ידי המרת שרת IIS שנפגע לנקודת ממסר לתקשורת הונאה בין גורמי איומים לקורבנותיהם. בנוסף, זה יכול לשנות את התוכן המוגש למנועי החיפוש כדי לתמרן אלגוריתמים ולשפר את דירוג האתרים הממוקדים על ידי התוקפים.

אחד הממצאים הבולטים של החקירה הוא הרבגוניות של תוכנות זדוניות של IIS, במיוחד בשימוש בה להונאות SEO. תוכנה זדונית זו מנוצלת כדי לתפעל אלגוריתמים של מנועי חיפוש, ולשפר את הנראות והמוניטין של אתרי צד שלישי.

ההתקפות האחרונות שנחשפו על ידי חוקרים מכסות מגוון רחב של תעשיות, כולל תכשיטים, מדיה, שירותי מחקר, שירותי בריאות, הפקת וידאו וטלוויזיה, ייצור, תחבורה, ארגונים דתיים ורוחניים, שירותי IT, עניינים בינלאומיים, חקלאות, ספורט ואפילו פנג. שואי.

שרשרת התקפה מיוחסת לדרגת הדרקון

המתקפה מתחילה בניצול פגיעויות ידועות ביישומי אינטרנט כגון phpMyAdmin ו-WordPress כדי לפרוס את מעטפת האינטרנט ASPXspy בקוד פתוח. מעטפת אינטרנט זו משמשת אז כשער להכנסת כלים נוספים לסביבת היעד.

המטרה העיקרית של הקמפיין היא להתפשר על שרתי IIS המארחים אתרים ארגוניים. התוקפים משתמשים בשרתים אלה כדי להתקין תוכנות זדוניות של BadIIS, ומיישמים אותם מחדש כפלטפורמות לפעילויות הונאה, שלעתים קרובות כוללות מילות מפתח הקשורות לפורנוגרפיה ומין.

תכונה בולטת של התוכנה הזדונית היא היכולת שלה להתחזות לסורק מנוע החיפוש של גוגל במחרוזת User-Agent שלו בעת התחברות לשרת Command-and-Control (C2). טקטיקה זו עוזרת לו להתחמק מכמה אמצעי אבטחה באתר.

שחקני איומים עוסקים במניפולציה של SEO

שחקן האיום עושה מניפולציות על SEO על ידי ניצול או שינוי אלגוריתמים של מנועי החיפוש כדי להגביר את דירוג האתר בתוצאות החיפוש. זה נעשה כדי להניע תנועה לאתרי הונאה, להגביר את הנראות של תוכן הונאה, או לשבש מתחרים על ידי ניפוח או ניפוח מלאכותי של דירוגים.

DragonRank בולטת מקבוצות אחרות של Black Hat SEO בשל הגישה שלה לפרוץ שרתים נוספים ברשת היעד. היא שומרת על שליטה על שרתים אלה באמצעות PlugX, דלת אחורית בשימוש נפוץ על ידי שחקני איומים סיניים, וכלים שונים לאיסוף אישורים כמו Mimikatz , PrintNotifyPotato, BadPotato ו-GodPotato.

טכניקות זדוניות ונוכחות מקוונת

התוכנה הזדונית PlugX המשמשת בהתקפות אלה משתמשת בטכניקות של טעינת DLL בצד. ה-DLL הטוען שיוזם את המטען המוצפן משתמש במנגנון Windows Structured Exception Handling (SEH) כדי להבטיח שהקובץ הלגיטימי (כלומר, הקובץ הבינארי הנוטה לטעינת צד של DLL) יכול לטעון את PlugX מבלי להפעיל התראות אבטחה.

חוקרים מצאו ראיות לכך ששחקן האיום פועל בטלגרם תחת הידית 'tttseo' ובאפליקציית ההודעות המיידיות QQ, שם הם מבצעים עסקאות עסקיות לא חוקיות עם לקוחות. הם גם מספקים מה שנראה כשירות לקוחות באיכות גבוהה, ויוצרים אסטרטגיות קידום מכירות המותאמות לצרכי הלקוחות שלהם.

לקוחות יכולים להגיש מילות מפתח ואתרים שהם רוצים לקדם, ו-DragonRank מעצב אסטרטגיה המבוססת על מפרטים אלו. הקבוצה מתמקדת גם במיקוד מבצעים למדינות ולשפות ספציפיות, ומציעה גישה מותאמת ויסודית לשיווק מקוון.