BadIIS मैलवेयर
सरलीकृत चीनी भाषा में संवाद करने वाले एक खतरनाक अभिनेता को एशिया और यूरोप के देशों को लक्षित करने वाले एक नए अभियान से जोड़ा गया है। अभियान का लक्ष्य SEO रणनीति के माध्यम से खोज इंजन रैंकिंग में हेरफेर करना है। साइबर सुरक्षा शोधकर्ताओं द्वारा ड्रैगनरैंक नाम दिया गया यह ब्लैक हैट SEO अभियान थाईलैंड, भारत, दक्षिण कोरिया, बेल्जियम, नीदरलैंड और चीन सहित क्षेत्रों को प्रभावित कर चुका है।
ड्रैगनरैंक वेब शेल को तैनात करने के लिए वेब एप्लिकेशन सेवाओं से समझौता करता है, जिसका उपयोग तब सिस्टम की जानकारी इकट्ठा करने और प्लगएक्स और बैडआईआईएस जैसे मैलवेयर को वितरित करने के लिए किया जाता है। इन हमलों के कारण 35 इंटरनेट सूचना सेवा (IIS) सर्वरों से समझौता हुआ है, जिसका उद्देश्य अंततः बैडआईआईएस मैलवेयर को स्थापित करना है, जिसकी पहली बार अगस्त 2021 में पहचान की गई थी।
विषयसूची
हमलावरों ने IIS सर्वर पर कब्ज़ा कर लिया
मैलवेयर को विशेष रूप से प्रॉक्सी वेयर और SEO धोखाधड़ी को सुविधाजनक बनाने के लिए डिज़ाइन किया गया है, जो कि IIS सर्वर को खतरे वाले अभिनेताओं और उनके पीड़ितों के बीच धोखाधड़ी वाले संचार के लिए रिले पॉइंट में परिवर्तित करता है। इसके अतिरिक्त, यह एल्गोरिदम में हेरफेर करने और हमलावरों द्वारा लक्षित वेबसाइटों की रैंकिंग में सुधार करने के लिए खोज इंजनों को दी जाने वाली सामग्री को बदल सकता है।
जांच के सबसे चौंकाने वाले निष्कर्षों में से एक IIS मैलवेयर की बहुमुखी प्रतिभा है, विशेष रूप से SEO धोखाधड़ी के लिए इसके उपयोग में। इस मैलवेयर का उपयोग सर्च इंजन एल्गोरिदम में हेरफेर करने, तीसरे पक्ष की वेबसाइटों की दृश्यता और प्रतिष्ठा बढ़ाने के लिए किया जाता है।
शोधकर्ताओं द्वारा उजागर किए गए सबसे हालिया हमले उद्योगों की एक विस्तृत श्रृंखला को कवर करते हैं, जिनमें आभूषण, मीडिया, अनुसंधान सेवाएं, स्वास्थ्य सेवा, वीडियो और टेलीविजन उत्पादन, विनिर्माण, परिवहन, धार्मिक और आध्यात्मिक संगठन, आईटी सेवाएं, अंतर्राष्ट्रीय मामले, कृषि, खेल और यहां तक कि फेंग शुई भी शामिल हैं।
ड्रैगनरैंक से संबंधित आक्रमण श्रृंखला
यह हमला phpMyAdmin और WordPress जैसे वेब अनुप्रयोगों में ज्ञात कमजोरियों का फायदा उठाकर ओपन-सोर्स ASPXspy वेब शेल को तैनात करने से शुरू होता है। यह वेब शेल तब लक्ष्य वातावरण में अतिरिक्त उपकरणों को पेश करने के लिए एक प्रवेश द्वार के रूप में कार्य करता है।
अभियान का मुख्य लक्ष्य कॉर्पोरेट वेबसाइटों को होस्ट करने वाले IIS सर्वरों को खतरे में डालना है। हमलावर इन सर्वरों का उपयोग BadIIS मैलवेयर स्थापित करने के लिए करते हैं, उन्हें धोखाधड़ी गतिविधियों के लिए प्लेटफ़ॉर्म के रूप में इस्तेमाल करते हैं, जिसमें अक्सर पोर्नोग्राफ़ी और सेक्स से संबंधित कीवर्ड शामिल होते हैं।
मैलवेयर की एक उल्लेखनीय विशेषता यह है कि यह कमांड-एंड-कंट्रोल (C2) सर्वर से कनेक्ट होने पर अपने यूजर-एजेंट स्ट्रिंग में Google के सर्च इंजन क्रॉलर की नकल करने की क्षमता रखता है। यह युक्ति इसे कुछ वेबसाइट सुरक्षा उपायों से बचने में मदद करती है।
खतरा पैदा करने वाले लोग SEO में हेराफेरी करते हैं
खतरा पैदा करने वाला व्यक्ति सर्च इंजन एल्गोरिदम का फायदा उठाकर या उसमें बदलाव करके सर्च रिजल्ट में वेबसाइट की रैंकिंग बढ़ाने के लिए SEO में हेरफेर करता है। ऐसा धोखाधड़ी वाली साइट्स पर ट्रैफ़िक बढ़ाने, धोखाधड़ी वाली सामग्री की दृश्यता बढ़ाने या रैंकिंग को कृत्रिम रूप से बढ़ाकर या कम करके प्रतिस्पर्धियों को बाधित करने के लिए किया जाता है।
ड्रैगनरैंक लक्ष्य के नेटवर्क के भीतर अतिरिक्त सर्वरों को भेदने के अपने दृष्टिकोण के कारण अन्य ब्लैक हैट एसईओ समूहों से अलग है। यह प्लगएक्स का उपयोग करके इन सर्वरों पर नियंत्रण बनाए रखता है, जो कि चीनी खतरे वाले अभिनेताओं द्वारा आमतौर पर इस्तेमाल किया जाने वाला एक बैकडोर है, और विभिन्न क्रेडेंशियल-हार्वेस्टिंग टूल जैसे कि मिमिकैट्ज़ , प्रिंटनोटिफ़ाईपोटेटो, बैडपोटेटो और गॉडपोटेटो।
दुर्भावनापूर्ण तकनीकें और ऑनलाइन उपस्थिति
इन हमलों में इस्तेमाल किया जाने वाला प्लगएक्स मैलवेयर DLL साइड-लोडिंग तकनीक का इस्तेमाल करता है। एन्क्रिप्टेड पेलोड शुरू करने वाला लोडर DLL यह सुनिश्चित करने के लिए विंडोज स्ट्रक्चर्ड एक्सेप्शन हैंडलिंग (SEH) मैकेनिज्म का इस्तेमाल करता है कि वैध फ़ाइल (यानी, DLL साइड-लोडिंग के लिए प्रवण बाइनरी) किसी भी सुरक्षा अलर्ट को ट्रिगर किए बिना प्लगएक्स को लोड कर सकती है।
शोधकर्ताओं को इस बात के सबूत मिले हैं कि धमकी देने वाला व्यक्ति टेलीग्राम पर 'tttseo' नाम से काम करता है और QQ इंस्टेंट मैसेजिंग ऐप पर भी काम करता है, जहाँ वे ग्राहकों के साथ अवैध व्यापारिक लेन-देन करते हैं। वे उच्च गुणवत्ता वाली ग्राहक सेवा भी प्रदान करते हैं, अपने ग्राहकों की ज़रूरतों के हिसाब से प्रचार रणनीतियाँ बनाते हैं।
ग्राहक वे कीवर्ड और वेबसाइट सबमिट कर सकते हैं जिन्हें वे प्रमोट करना चाहते हैं, और ड्रैगनरैंक इन विशिष्टताओं के आधार पर एक रणनीति तैयार करता है। समूह विशिष्ट देशों और भाषाओं के लिए प्रचार को लक्षित करने पर भी ध्यान केंद्रित करता है, जो ऑनलाइन मार्केटिंग के लिए एक अनुकूलित और संपूर्ण दृष्टिकोण प्रदान करता है।
