Malware BadIIS
Un autore di minacce che comunica in cinese semplificato è stato collegato a una nuova campagna che ha come obiettivo paesi in Asia ed Europa. L'obiettivo della campagna è manipolare le classifiche dei motori di ricerca tramite tattiche SEO. Questa campagna SEO Black Hat, soprannominata DragonRank dai ricercatori di sicurezza informatica, ha avuto un impatto su regioni tra cui Thailandia, India, Corea del Sud, Belgio, Paesi Bassi e Cina.
DragonRank compromette i servizi delle applicazioni Web per distribuire Web shell, che vengono poi utilizzate per raccogliere informazioni di sistema e distribuire malware come PlugX e BadIIS. Questi attacchi hanno portato alla compromissione di 35 server Internet Information Services (IIS), con l'obiettivo finale di installare il malware BadIIS, identificato per la prima volta nell'agosto 2021.
Sommario
Gli aggressori prendono il controllo dei server IIS compromessi
Il malware è specificamente progettato per facilitare il proxy ware e le frodi SEO convertendo il server IIS compromesso in un punto di inoltro per comunicazioni fraudolente tra gli autori delle minacce e le loro vittime. Inoltre, può alterare il contenuto servito ai motori di ricerca per manipolare gli algoritmi e migliorare le classifiche dei siti Web presi di mira dagli aggressori.
Una delle scoperte più sorprendenti dell'indagine è la versatilità del malware IIS, in particolare nel suo utilizzo per frodi SEO. Questo malware viene sfruttato per manipolare gli algoritmi dei motori di ricerca, migliorando la visibilità e la reputazione dei siti Web di terze parti.
Gli attacchi più recenti scoperti dai ricercatori riguardano un'ampia gamma di settori, tra cui gioielleria, media, servizi di ricerca, assistenza sanitaria, produzione video e televisiva, produzione manifatturiera, trasporti, organizzazioni religiose e spirituali, servizi IT, affari internazionali, agricoltura, sport e persino feng shui.
Catena di attacchi attribuita a DragonRank
L'attacco inizia sfruttando vulnerabilità note in applicazioni Web come phpMyAdmin e WordPress per distribuire la web shell open source ASPXspy. Questa web shell funge quindi da gateway per introdurre strumenti aggiuntivi nell'ambiente di destinazione.
L'obiettivo principale della campagna è compromettere i server IIS che ospitano siti web aziendali. Gli aggressori utilizzano questi server per installare il malware BadIIS, riutilizzandoli come piattaforme per attività fraudolente, spesso con parole chiave correlate a pornografia e sesso.
Una caratteristica degna di nota del malware è la sua capacità di impersonare il crawler del motore di ricerca di Google nella sua stringa User-Agent quando si connette al server Command-and-Control (C2). Questa tattica lo aiuta a eludere alcune misure di sicurezza del sito web.
Gli attori delle minacce si impegnano nella manipolazione SEO
L'attore della minaccia manipola la SEO sfruttando o alterando gli algoritmi dei motori di ricerca per aumentare la classifica di un sito web nei risultati di ricerca. Ciò viene fatto per indirizzare il traffico verso siti fraudolenti, aumentare la visibilità di contenuti fraudolenti o interrompere i concorrenti gonfiando o sgonfiando artificialmente le classifiche.
DragonRank si distingue dagli altri gruppi Black Hat SEO per il suo approccio di violazione di server aggiuntivi all'interno della rete del bersaglio. Mantiene il controllo su questi server utilizzando PlugX, una backdoor comunemente utilizzata dagli attori delle minacce cinesi, e vari strumenti di raccolta delle credenziali come Mimikatz , PrintNotifyPotato, BadPotato e GodPotato.
Tecniche dannose e presenza online
Il malware PlugX utilizzato in questi attacchi impiega tecniche di caricamento laterale delle DLL. La DLL del caricatore che avvia il payload crittografato utilizza il meccanismo Windows Structured Exception Handling (SEH) per garantire che il file legittimo (ovvero il binario incline al caricamento laterale delle DLL) possa caricare PlugX senza attivare alcun avviso di sicurezza.
I ricercatori hanno trovato prove che l'attore della minaccia opera su Telegram con il nome utente "tttseo" e sull'app di messaggistica istantanea QQ, dove conduce transazioni commerciali illegali con i clienti. Fornisce anche quello che sembra essere un servizio clienti di alta qualità, creando strategie promozionali su misura per le esigenze dei propri clienti.
I clienti possono inviare parole chiave e siti web che desiderano promuovere e DragonRank progetta una strategia basata su queste specifiche. Il gruppo si concentra anche sul targeting delle promozioni per paesi e lingue specifici, offrendo un approccio personalizzato e completo al marketing online.