Malware BadIIS
I ricercatori di sicurezza informatica hanno scoperto una sofisticata campagna di avvelenamento SEO, che si ritiene sia stata condotta da un autore di minacce di lingua cinese. Gli attacchi prendono di mira principalmente l'Asia orientale e sud-orientale, con particolare attenzione al Vietnam. Questa campagna è associata al malware chiamato BadIIS ed è tracciata con il nome CL-UNK-1037. In particolare, l'autore della minaccia mostra sovrapposizioni infrastrutturali e architettoniche con entità identificate come Gruppo 9 e DragonRank.
Sommario
Come funziona l’avvelenamento SEO
L'avvelenamento SEO consiste nel manipolare i risultati dei motori di ricerca per indurre gli utenti a visitare siti web inaspettati o dannosi, come portali di gioco d'azzardo o di contenuti per adulti, a scopo di lucro. In questa campagna, gli aggressori sfruttano un modulo IIS nativo, BadIIS, per distribuire contenuti dannosi da server legittimi ma compromessi.
Le funzioni di BadIIS includono:
- Intercettazione e modifica del traffico HTTP in entrata.
- Inserire parole chiave e frasi in siti web affidabili per manipolare il posizionamento nei motori di ricerca.
- Segnalazione dei visitatori tramite i crawler dei motori di ricerca tramite l'intestazione User-Agent e recupero di contenuti infetti da un server Command-and-Control (C2).
Questo approccio consente ai siti web compromessi di ottenere un posizionamento elevato per termini di ricerca mirati, reindirizzando in ultima analisi gli utenti ignari verso siti truffaldini.
Il ciclo di vita dell’attacco
L'attacco di avvelenamento SEO segue un processo in più fasi:
Creazione dell'esca : gli aggressori forniscono contenuti manipolati ai crawler dei motori di ricerca, facendo apparire il sito web compromesso pertinente per termini di ricerca non correlati.
Scatta la trappola : le vittime che cercano questi termini si imbattono in siti dall'aspetto legittimo ma compromessi, che le reindirizzano verso destinazioni dannose.
In almeno un incidente noto, gli aggressori hanno sfruttato l'accesso ai crawler dei motori di ricerca per intensificare gli attacchi creando nuovi account locali, distribuendo web shell, esfiltrando il codice sorgente e installando ulteriori impianti BadIIS per l'accesso remoto persistente.
Strumenti e varianti utilizzati
L'autore della minaccia utilizza molteplici strumenti e varianti per ottenere la manipolazione SEO e il controllo del traffico:
- Gestore di pagine ASP.NET leggero per il proxy di contenuti dannosi.
- Modulo IIS .NET gestito per ispezionare/modificare le richieste e inserire link/parole chiave spam.
- Script PHP all-in-one che combina il reindirizzamento degli utenti e l'avvelenamento dinamico SEO.
Tutti gli impianti sono personalizzati per controllare i risultati dei motori di ricerca e il flusso di traffico, dimostrando un funzionamento altamente coordinato.
Attribuzione e prova linguistica
I ricercatori sono altamente convinti che questa attività sia condotta da un autore di minacce di lingua cinese. Questa conclusione è supportata da:
- Prove linguistiche dirette trovate nel malware e nell'infrastruttura.
- Collegamenti architettonici e operativi che collegano l'attore al cluster del Gruppo 9.
Operation Rewrite è un esempio di come gli autori di minacce sofisticate sfruttino l'avvelenamento SEO, le vulnerabilità IIS e le compromissioni dei server web per reindirizzare il traffico e condurre attacchi a scopo finanziario.
