BadIIS Malware
Egy leegyszerűsített kínai nyelven kommunikáló fenyegetés szereplőt egy új kampányhoz kapcsoltak, amely Ázsia és Európa országait célozza meg. A kampány célja a keresőmotorok rangsorolásának manipulálása SEO taktikák segítségével. Ez a Black Hat SEO kampány, amelyet a kiberbiztonsági kutatók DragonRank-nak neveztek el, olyan régiókat érintett, mint Thaiföld, India, Dél-Korea, Belgium, Hollandia és Kína.
A DragonRank kompromittálja a webalkalmazás-szolgáltatásokat a webhéjak telepítéséhez, amelyeket aztán rendszerinformációk gyűjtésére és rosszindulatú programok, például PlugX és BadIIS szállítására használnak. Ezek a támadások 35 Internet Information Services (IIS) szerver kompromittálásához vezettek, amelyek végső soron a BadIIS rosszindulatú program telepítését célozták, amelyet először 2021 augusztusában azonosítottak.
Tartalomjegyzék
A támadók átveszik a kompromittált IIS-kiszolgálókat
A rosszindulatú program kifejezetten a proxy- és SEO-csalás megkönnyítésére szolgál azáltal, hogy a feltört IIS-kiszolgálót a fenyegetettség szereplői és áldozataik közötti csalárd kommunikáció közvetítőpontjává alakítja. Ezenkívül megváltoztathatja a keresőmotorok számára kiszolgált tartalmat, hogy manipulálhassa az algoritmusokat és javítsa a támadók által megcélzott webhelyek rangsorát.
A vizsgálat egyik legszembetűnőbb megállapítása az IIS rosszindulatú programjainak sokoldalúsága, különösen a SEO csalásra való felhasználásában. Ezt a rosszindulatú programot a keresőmotor-algoritmusok manipulálására használják ki, javítva ezzel a harmadik felek webhelyeinek láthatóságát és hírnevét.
A kutatók által feltárt legutóbbi támadások számos iparágat érintenek, beleértve az ékszergyártást, a médiát, a kutatási szolgáltatásokat, az egészségügyet, a videó- és televíziógyártást, a gyártást, a szállítást, a vallási és spirituális szervezeteket, az IT-szolgáltatásokat, a nemzetközi ügyeket, a mezőgazdaságot, a sportot és még a feng-t is. shui.
A DragonRank-nak tulajdonított támadási lánc
A támadás a webalkalmazások, például a phpMyAdmin és a WordPress ismert sebezhetőségeinek kihasználásával kezdődik a nyílt forráskódú ASPXspy webhéj telepítéséhez. Ez a webhéj ezután átjáróként szolgál további eszközöknek a célkörnyezetbe való bevezetéséhez.
A kampány fő célja a vállalati weboldalakat tároló IIS szerverek kompromittálása. A támadók ezeket a szervereket BadIIS rosszindulatú programok telepítésére használják, és platformként használják azokat csalárd tevékenységekhez, amelyek gyakran tartalmaznak pornográfiához és szexhez kapcsolódó kulcsszavakat.
A rosszindulatú program egyik figyelemre méltó tulajdonsága, hogy a Command-and-Control (C2) szerverhez való csatlakozáskor képes kiadni a Google keresőrobotjának a User-Agent karakterláncát. Ez a taktika segít elkerülni bizonyos webhelybiztonsági intézkedéseket.
A fenyegető szereplők SEO-manipulációt végeznek
A fenyegetettség szereplője a keresőmotor-algoritmusok kihasználásával vagy módosításával manipulálja a SEO-t, hogy javítsa a webhely rangsorolását a keresési eredmények között. Ennek célja, hogy csalárd webhelyekre irányítsa a forgalmat, növelje a csaló tartalom láthatóságát, vagy megzavarja a versenytársakat a rangsorok mesterséges felfújásával vagy csökkentésével.
A DragonRank kiemelkedik a többi Black Hat SEO csoport közül, mivel a célpont hálózatán belül további szervereket tör fel. A kiszolgálók feletti irányítást a PlugX, a kínai fenyegetés szereplői által gyakran használt hátsó ajtó, valamint a különféle hitelesítő adatok begyűjtő eszközei, például a Mimikatz , a PrintNotifyPotato, a BadPotato és a GodPotato segítségével tartja fenn.
Rosszindulatú technikák és online jelenlét
Az ezekben a támadásokban használt PlugX kártevők DLL oldalbetöltési technikákat alkalmaznak. A titkosított hasznos adatot kezdeményező betöltő DLL a Windows Structured Exception Handling (SEH) mechanizmusát használja annak biztosítására, hogy a legitim fájl (azaz a DLL oldalsó betöltésére hajlamos bináris) betölthesse a PlugX-et anélkül, hogy bármilyen biztonsági riasztást kiváltana.
A kutatók bizonyítékot találtak arra vonatkozóan, hogy a fenyegetőző a Telegramon a „tttseo” fogantyú alatt és a QQ azonnali üzenetküldő alkalmazásban működik, ahol illegális üzleti tranzakciókat bonyolít le az ügyfelekkel. Emellett magas színvonalú ügyfélszolgálatot is nyújtanak, ügyfeleik igényeire szabott promóciós stratégiákat készítve.
Az ügyfelek beküldhetik a reklámozni kívánt kulcsszavakat és webhelyeket, a DragonRank pedig ezeken a specifikációkon alapuló stratégiát tervez. A csoport az egyes országok és nyelvek promócióinak megcélzására is összpontosít, személyre szabott és alapos megközelítést kínálva az online marketinghez.
