BadIIS Malware
Glumac prijetnje koji komunicira na pojednostavljenom kineskom povezan je s novom kampanjom koja cilja na zemlje diljem Azije i Europe. Cilj kampanje je manipulirati rangiranjem u tražilicama putem SEO taktike. Ova Black Hat SEO kampanja, koju su istraživači kibernetičke sigurnosti nazvali DragonRank, utjecala je na regije uključujući Tajland, Indiju, Južnu Koreju, Belgiju, Nizozemsku i Kinu.
DragonRank kompromitira usluge web aplikacija za implementaciju web školjki, koje se zatim koriste za prikupljanje informacija o sustavu i isporuku zlonamjernog softvera kao što su PlugX i BadIIS. Ovi napadi doveli su do kompromitacije 35 poslužitelja internetskih informacijskih usluga (IIS), s konačnim ciljem instaliranja zlonamjernog softvera BadIIS, koji je prvi put identificiran u kolovozu 2021.
Sadržaj
Napadači preuzimaju kompromitirane IIS poslužitelje
Zlonamjerni softver posebno je dizajniran za olakšavanje proxy softvera i SEO prijevare pretvaranjem kompromitiranog IIS poslužitelja u relejnu točku za lažnu komunikaciju između aktera prijetnji i njihovih žrtava. Osim toga, može promijeniti sadržaj koji se poslužuje tražilicama kako bi se manipuliralo algoritmima i poboljšalo rangiranje web stranica na koje napadači ciljaju.
Jedan od najupečatljivijih nalaza istrage je svestranost zlonamjernog softvera IIS-a, osobito u njegovoj upotrebi za SEO prijevaru. Ovaj se zlonamjerni softver iskorištava za manipuliranje algoritmima tražilice, poboljšavajući vidljivost i ugled web stranica trećih strana.
Najnoviji napadi koje su otkrili istraživači pokrivaju širok raspon industrija, uključujući nakit, medije, istraživačke usluge, zdravstvo, video i televizijsku produkciju, proizvodnju, transport, vjerske i duhovne organizacije, IT usluge, međunarodne poslove, poljoprivredu, sport pa čak i feng shui.
Lanac napada pripisan DragonRank-u
Napad počinje iskorištavanjem poznatih ranjivosti u web-aplikacijama kao što su phpMyAdmin i WordPress kako bi se postavila open-source ASPXspy web shell. Ova web ljuska tada služi kao pristupnik za uvođenje dodatnih alata u ciljno okruženje.
Glavni cilj kampanje je kompromitirati IIS poslužitelje na kojima se nalaze korporativne web stranice. Napadači koriste ove poslužitelje za instaliranje zlonamjernog softvera BadIIS, prenamjenjujući ih kao platforme za lažne aktivnosti, često uključujući ključne riječi povezane s pornografijom i seksom.
Značajna značajka zlonamjernog softvera je njegova sposobnost da oponaša Googleov alat za indeksiranje tražilice u nizu korisničkog agenta prilikom spajanja na Command-and-Control (C2) poslužitelj. Ova taktika pomaže mu da izbjegne neke sigurnosne mjere web stranice.
Akteri prijetnji uključeni su u SEO manipulaciju
Glumac prijetnje manipulira SEO-om iskorištavanjem ili mijenjanjem algoritama tražilice kako bi poboljšao rang web stranice u rezultatima pretraživanja. To se radi kako bi se privukao promet na lažne stranice, povećala vidljivost lažnog sadržaja ili ometala konkurencija umjetnim napuhavanjem ili smanjivanjem rangiranja.
DragonRank se izdvaja od ostalih Black Hat SEO grupa zbog svog pristupa probijanja dodatnih poslužitelja unutar ciljane mreže. Održava kontrolu nad tim poslužiteljima koristeći PlugX, backdoor koji obično koriste kineski akteri prijetnji, i razne alate za prikupljanje vjerodajnica kao što su Mimikatz , PrintNotifyPotato, BadPotato i GodPotato.
Zlonamjerne tehnike i online prisutnost
Zlonamjerni softver PlugX koji se koristi u ovim napadima koristi DLL tehnike bočnog učitavanja. DLL za učitavanje koji inicira šifrirani korisni teret koristi mehanizam Windows Structured Exception Handling (SEH) kako bi osigurao da legitimna datoteka (tj. binarna datoteka sklona bočnom učitavanju DLL-a) može učitati PlugX bez pokretanja ikakvih sigurnosnih upozorenja.
Istraživači su pronašli dokaze da prijetnja djeluje na Telegramu pod oznakom 'tttseo' i na QQ aplikaciji za razmjenu trenutnih poruka, gdje obavlja nezakonite poslovne transakcije s klijentima. Oni također pružaju ono što se čini kao visokokvalitetna korisnička usluga, stvarajući promotivne strategije prilagođene potrebama svojih klijenata.
Klijenti mogu poslati ključne riječi i web stranice koje žele promovirati, a DragonRank dizajnira strategiju na temelju tih specifikacija. Grupa se također fokusira na ciljane promocije za određene zemlje i jezike, nudeći prilagođen i temeljit pristup internetskom marketingu.
