BadIIS मैलवेयर

साइबर सुरक्षा शोधकर्ताओं ने एक परिष्कृत एसईओ विषाक्तता अभियान का पर्दाफ़ाश किया है, जिसके बारे में माना जा रहा है कि यह एक चीनी भाषी ख़तरा पैदा करने वाले द्वारा चलाया जा रहा है। ये हमले मुख्य रूप से पूर्वी और दक्षिण-पूर्व एशिया को निशाना बनाते हैं, विशेष रूप से वियतनाम पर। यह अभियान BadIIS नामक मैलवेयर से जुड़ा है और CL-UNK-1037 नाम से ट्रैक किया जाता है। उल्लेखनीय है कि इस ख़तरा पैदा करने वाले का बुनियादी ढाँचा और वास्तुकला समूह 9 और ड्रैगनरैंक जैसी संस्थाओं के साथ ओवरलैप दिखाता है।

SEO विषाक्तता कैसे काम करती है

एसईओ पॉइज़निंग में सर्च इंजन के परिणामों में हेराफेरी करके उपयोगकर्ताओं को जुआ या वयस्क सामग्री पोर्टल जैसी अप्रत्याशित या दुर्भावनापूर्ण वेबसाइटों पर जाने के लिए प्रेरित करना शामिल है, जिससे उन्हें वित्तीय लाभ होता है। इस अभियान में, हमलावर वैध लेकिन असुरक्षित सर्वरों से दुर्भावनापूर्ण सामग्री प्रदान करने के लिए एक मूल IIS मॉड्यूल, BadIIS का उपयोग करते हैं।

BadIIS कार्यों में शामिल हैं:

• आने वाले HTTP ट्रैफ़िक को रोकना और संशोधित करना।
• खोज इंजन रैंकिंग में हेरफेर करने के लिए प्रतिष्ठित वेबसाइटों में कीवर्ड और वाक्यांशों को डालना।
• उपयोगकर्ता-एजेंट हेडर का उपयोग करके खोज इंजन क्रॉलर्स से आगंतुकों को चिह्नित करना और कमांड-एंड-कंट्रोल (C2) सर्वर से विषाक्त सामग्री प्राप्त करना।

यह दृष्टिकोण, लक्षित खोज शब्दों के लिए समझौता की गई वेबसाइटों को उच्च रैंक प्रदान करता है, तथा अंततः अनजान उपयोगकर्ताओं को घोटाले वाली साइटों पर पुनर्निर्देशित करता है।

हमले का जीवनचक्र

एसईओ विषाक्तता हमला एक बहु-चरणीय प्रक्रिया का अनुसरण करता है:

लालच का निर्माण : हमलावर खोज इंजन क्रॉलरों को छेड़छाड़ की गई सामग्री खिलाते हैं, जिससे समझौता की गई वेबसाइट असंबंधित खोज शब्दों के लिए प्रासंगिक प्रतीत होती है।

जाल बिछाना : इन शब्दों की खोज करने वाले पीड़ितों को वैध दिखने वाली, लेकिन जोखिम भरी साइटें मिलती हैं, जो उन्हें दुर्भावनापूर्ण गंतव्यों पर भेज देती हैं।

कम से कम एक ज्ञात घटना में, हमलावरों ने नए स्थानीय खाते बनाकर, वेब शेल्स तैनात करके, स्रोत कोड को एक्सफ़िल्ट्रेट करके, और लगातार दूरस्थ पहुंच के लिए अतिरिक्त BadIIS इम्प्लांट्स स्थापित करके हमलों को बढ़ाने के लिए खोज इंजन क्रॉलर पहुंच का लाभ उठाया।

प्रयुक्त उपकरण और प्रकार

खतरा पैदा करने वाला व्यक्ति SEO में हेरफेर और ट्रैफिक नियंत्रण प्राप्त करने के लिए कई उपकरणों और प्रकारों का उपयोग करता है:

• दुर्भावनापूर्ण सामग्री को प्रॉक्सी करने के लिए हल्का ASP.NET पेज हैंडलर।

सभी प्रत्यारोपणों को खोज इंजन परिणामों और यातायात प्रवाह को नियंत्रित करने के लिए अनुकूलित किया गया है, जो एक अत्यधिक समन्वित संचालन को प्रदर्शित करता है।

आरोपण और भाषाई साक्ष्य

शोधकर्ताओं को पूरा विश्वास है कि यह गतिविधि किसी चीनी भाषी ख़तरा पैदा करने वाले व्यक्ति द्वारा संचालित है। इस निष्कर्ष की पुष्टि निम्नलिखित कारणों से होती है:

• मैलवेयर और बुनियादी ढांचे में प्रत्यक्ष भाषाई साक्ष्य पाए गए।
• अभिनेता को ग्रुप 9 क्लस्टर से जोड़ने वाले वास्तुशिल्पीय और परिचालनात्मक लिंक।

ऑपरेशन रीराइट इस बात का उदाहरण है कि किस प्रकार परिष्कृत खतरा पैदा करने वाले लोग एसईओ विषाक्तता, आईआईएस कमजोरियों और वेब सर्वर से समझौता करके ट्रैफिक को पुनर्निर्देशित कर रहे हैं और वित्तीय रूप से प्रेरित हमले कर रहे हैं।