BadIIS 맬웨어

사이버 보안 연구원들이 중국어를 구사하는 위협 행위자가 저지른 것으로 추정되는 정교한 SEO 포이즈닝 캠페인을 발견했습니다. 이 공격은 주로 동아시아와 동남아시아를 대상으로 하며, 특히 베트남을 집중적으로 공격합니다. 이 캠페인은 BadIIS라는 악성코드와 연관되어 있으며, CL-UNK-1037이라는 이름으로 추적됩니다. 특히, 이 위협 행위자는 Group 9 및 DragonRank로 식별된 조직과 인프라 및 아키텍처가 중복되는 것으로 나타났습니다.

SEO 포이즈닝 작동 방식

SEO 포이즈닝은 검색 엔진 결과를 조작하여 사용자를 속여 도박이나 성인 콘텐츠 포털과 같은 예상치 못한 악성 웹사이트로 유도하여 금전적 이득을 취하는 행위를 말합니다. 이 공격에서 공격자는 기본 IIS 모듈인 BadIIS를 악용하여 정상이지만 손상된 서버에서 악성 콘텐츠를 제공합니다.

BadIIS 기능은 다음과 같습니다.

• 들어오는 HTTP 트래픽을 가로채고 수정합니다.
• 검색 엔진 순위를 조작하기 위해 평판이 좋은 웹사이트에 키워드와 구문을 삽입합니다.
• User-Agent 헤더를 사용하여 검색 엔진 크롤러에서 방문자를 플래그 지정하고 명령 및 제어(C2) 서버에서 감염된 콘텐츠를 가져옵니다.

이런 접근 방식을 사용하면 감염된 웹사이트가 특정 검색어에 대해 높은 순위를 차지하게 되고, 결국 아무것도 모르는 사용자를 사기 사이트로 리디렉션하게 됩니다.

공격 라이프사이클

SEO 포이즈닝 공격은 여러 단계로 진행됩니다.

미끼 만들기 : 공격자는 조작된 콘텐츠를 검색 엔진 크롤러에 공급하여 손상된 웹사이트가 관련 없는 검색어에 대해 관련성이 있는 것처럼 보이게 만듭니다.

함정에 빠지다 : 해당 용어를 검색하는 피해자는 합법적인 것처럼 보이지만 침해된 사이트에 접속하게 되고, 이를 통해 악성 사이트로 리디렉션됩니다.

알려진 사건 중 하나 이상에서 공격자는 검색 엔진 크롤러 액세스를 활용해 새로운 로컬 계정을 만들고, 웹 셸을 배포하고, 소스 코드를 추출하고, 지속적인 원격 액세스를 위해 추가 BadIIS 임플란트를 설치하는 등 공격을 확대했습니다.

사용된 도구 및 변형

위협 행위자는 SEO 조작 및 트래픽 제어를 달성하기 위해 여러 도구와 변형을 사용합니다.

• 악성 콘텐츠를 프록시하기 위한 가벼운 ASP.NET 페이지 핸들러입니다.

모든 임플란트는 검색 엔진 결과와 트래픽 흐름을 제어하도록 맞춤화되어 있어 매우 긴밀하게 조정된 운영을 보여줍니다.

귀속 및 언어적 증거

연구원들은 이 활동이 중국어를 구사하는 위협 행위자에 의해 운영될 것이라고 확신하고 있습니다. 이러한 결론은 다음과 같은 사실로 뒷받침됩니다.

• 맬웨어와 인프라에서 직접적인 언어적 증거가 발견되었습니다.
• 액터를 그룹 9 클러스터에 연결하는 아키텍처 및 운영 링크입니다.

Operation Rewrite는 정교한 위협 행위자가 SEO 포이즈닝, IIS 취약점, 웹 서버 손상을 이용해 트래픽을 리디렉션하고 재정적 동기를 가진 공격을 수행하는 방식을 보여주는 사례입니다.