Ponuda s popustom na više licenci
Baza prijetnji Malware Zlonamjerni softver BadIIS

Zlonamjerni softver BadIIS

Do Mezo. Malware. godine
Prevedi na:

Istraživači kibernetičke sigurnosti otkrili su sofisticiranu SEO kampanju trovanja za koju se vjeruje da ju je izveo napadač koji govori kineski. Napadi su prvenstveno usmjereni na istočnu i jugoistočnu Aziju, s posebnim fokusom na Vijetnam. Ova kampanja povezana je sa zlonamjernim softverom pod nazivom BadIIS i prati se pod nazivom CL-UNK-1037. Značajno je da napadač pokazuje infrastrukturna i arhitektonska preklapanja s entitetima identificiranim kao Group 9 i DragonRank.

Kako funkcionira SEO trovanje

SEO trovanje uključuje manipuliranje rezultatima tražilica kako bi se korisnici prevarili da posjete neočekivane ili zlonamjerne web stranice, poput kockarnica ili portala za odrasle, radi financijske dobiti. U ovoj kampanji napadači iskorištavaju izvorni IIS modul, BadIIS, za posluživanje zlonamjernog sadržaja s legitimnih, ali kompromitiranih poslužitelja.

BadIIS funkcije uključuju:

  • Presretanje i mijenjanje dolaznog HTTP prometa.
  • Ubacivanje ključnih riječi i fraza na ugledne web stranice radi manipuliranja rangiranjem na tražilicama.
  • Označavanje posjetitelja od strane pretraživača pomoću zaglavlja User-Agent i dohvaćanje zaraženog sadržaja s Command-and-Control (C2) poslužitelja.

Ovaj pristup omogućuje kompromitiranim web stranicama da se visoko rangiraju za ciljane pojmove za pretraživanje, što u konačnici preusmjerava nesuđene korisnike na lažne stranice.

Životni ciklus napada

Napad SEO trovanja slijedi proces od više koraka:

Izgradnja mamaca : Napadači šalju manipulirani sadržaj pretraživačima, čineći da kompromitovana web stranica izgleda relevantna za nepovezane pojmove za pretraživanje.

Isključivanje zamke : Žrtve koje traže te pojmove nailaze na legitimne, ali kompromitirane stranice koje ih preusmjeravaju na zlonamjerne destinacije.

U barem jednom poznatom incidentu, napadači su iskoristili pristup pretraživača kako bi eskalirali napade stvaranjem novih lokalnih računa, postavljanjem web ljuski, krađom izvornog koda i instaliranjem dodatnih BadIIS implantata za trajni udaljeni pristup.

Korišteni alati i varijante

Prijetnja koristi više alata i varijanti kako bi postigla SEO manipulaciju i kontrolu prometa:

  • Lagani ASP.NET program za obradu stranica za proxyiranje zlonamjernog sadržaja.
  • Upravljani .NET IIS modul za pregled/izmjenu zahtjeva i ubacivanje neželjenih poveznica/ključnih riječi.
  • Sveobuhvatna PHP skripta koja kombinira preusmjeravanje korisnika i dinamičko SEO trovanje.

Svi implantati su prilagođeni za kontrolu rezultata tražilica i protoka prometa, što pokazuje visoko koordinirano djelovanje.

Atribucija i lingvistički dokazi

Istraživači imaju visok stupanj sigurnosti da ovu aktivnost provodi prijetnja koja govori kineski. Ovaj zaključak podupiru:

  • Izravni lingvistički dokazi pronađeni u zlonamjernom softveru i infrastrukturi.
  • Arhitektonske i operativne veze koje povezuju aktera s klasterom Grupe 9.

Operacija Rewrite primjer je kako sofisticirani akteri prijetnji koriste SEO trovanje, ranjivosti IIS-a i kompromitiranje web poslužitelja za preusmjeravanje prometa i provođenje financijski motiviranih napada.

U trendu

Nagledanije

Učitavam...