BadIIS kártevő
Kiberbiztonsági kutatók lelepleztek egy kifinomult SEO-mérgezési kampányt, amelyet feltehetően egy kínaiul beszélő fenyegető szereplő hajtott végre. A támadások elsősorban Kelet- és Délkelet-Ázsiát célozzák meg, különös tekintettel Vietnamra. Ez a kampány a BadIIS nevű rosszindulatú programhoz kapcsolódik, és CL-UNK-1037 néven követik nyomon. Figyelemre méltó, hogy a fenyegető szereplő infrastrukturális és architektúrális átfedéseket mutat a Group 9 és a DragonRank néven azonosított entitásokkal.
Tartalomjegyzék
Hogyan működik a SEO-mérgezés?
A SEO-mérgezés során a keresőmotorok találatainak manipulálásával próbálják rávenni a felhasználókat, hogy pénzügyi haszonszerzés céljából váratlan vagy rosszindulatú webhelyeket, például szerencsejáték- vagy felnőtt tartalmú portálokat látogassanak meg. Ebben a kampányban a támadók egy natív IIS-modult, a BadIIS-t használják ki, hogy rosszindulatú tartalmat szolgáltassanak ki legitim, de feltört szerverekről.
A BadIIS függvényei a következők:
- Bejövő HTTP forgalom elfogása és módosítása.
- Kulcsszavak és kifejezések beillesztése jó hírű weboldalakba a keresőmotorok rangsorolásának manipulálása érdekében.
- Látogatók megjelölése keresőmotorok robotjaitól a User-Agent fejléc használatával, és mérgezett tartalom lekérése egy Command-and-Control (C2) szerverről.
Ez a megközelítés lehetővé teszi, hogy a feltört webhelyek előkelő helyen szerepeljenek a célzott keresési kifejezéseknél, végső soron a gyanútlan felhasználókat átirányítva csaló webhelyekre.
A támadási életciklus
A SEO-mérgezéses támadás több lépésből áll:
A csali felépítése : A támadók manipulált tartalommal látják el a keresőmotorok robotjait, így a feltört webhely relevánsnak tűnik a nem kapcsolódó keresési kifejezések számára.
A csapda elvetése : Az ezekre a kifejezésekre kereső áldozatok legitimnek tűnő, de feltört webhelyekre találnak, amelyek rosszindulatú célhelyekre irányítják át őket.
Legalább egy ismert incidensben a támadók a keresőmotorok feltérképező robotjainak hozzáférését kihasználva fokozták a támadásokat új helyi fiókok létrehozásával, webes shell-ek telepítésével, forráskód kiszivárgásával és további BadIIS implantátumok telepítésével a tartós távoli hozzáférés érdekében.
Használt eszközök és változatok
A fenyegető szereplő több eszközt és változatot is alkalmaz a SEO manipuláció és a forgalomszabályozás megvalósításához:
- Könnyű ASP.NET oldalkezelő a rosszindulatú tartalmak proxyzásához.
- Felügyelt .NET IIS modul kérések vizsgálatához/módosításához és spam linkek/kulcsszavak beillesztéséhez.
- Mindent egyben PHP szkript, amely ötvözi a felhasználó átirányítását és a dinamikus SEO-mérgezést.
Minden implantátumot úgy terveztek, hogy szabályozzák a keresőmotorok találatait és a forgalomáramlást, ami egy magasan összehangolt működést mutat.
Attribúció és nyelvi bizonyítékok
A kutatók nagy valószínűséggel azt állítják, hogy ezt a tevékenységet egy kínaiul beszélő fenyegető szereplő működteti. Ezt a következtetést alátámasztják a következők:
- Közvetlen nyelvi bizonyítékokat találtak a rosszindulatú programban és az infrastruktúrában.
- Architekturális és működési kapcsolatok, amelyek a szereplőt a 9. csoportú klaszterhez kötik.
Az Operation Rewrite jól példázza, hogyan használják ki a kifinomult kiberfenyegetések szereplői a SEO-mérgezést, az IIS sebezhetőségeit és a webszerverek feltörését a forgalom átirányítására és pénzügyi indíttatású támadások végrehajtására.
