다중 라이센스 할인 견적
위협 데이터베이스 지능형 지속 위협(APT) BadIIS 맬웨어

BadIIS 맬웨어

지능형 지속 위협(APT), 멀웨어년에 Mezo 년까지
번역 :
한국어

간체 중국어로 소통하는 위협 행위자가 아시아와 유럽 전역의 국가를 대상으로 하는 새로운 캠페인과 관련이 있습니다. 이 캠페인의 목표는 SEO 전술을 통해 검색 엔진 순위를 조작하는 것입니다. 사이버 보안 연구자들이 DragonRank라고 부르는 이 Black Hat SEO 캠페인은 태국, 인도, 한국, 벨기에, 네덜란드, 중국을 포함한 지역에 영향을 미쳤습니다.

DragonRank는 웹 셸을 배포하기 위해 웹 애플리케이션 서비스를 손상시키고, 이는 시스템 정보를 수집하고 PlugX 및 BadIIS와 같은 맬웨어를 전달하는 데 사용됩니다. 이러한 공격으로 인해 35개의 인터넷 정보 서비스(IIS) 서버가 손상되었고, 궁극적으로 2021년 8월에 처음 확인된 BadIIS 맬웨어를 설치하려는 것이었습니다.

공격자가 손상된 IIS 서버를 점유합니다.

이 맬웨어는 손상된 IIS 서버를 위협 행위자와 피해자 간의 사기성 통신을 위한 릴레이 포인트로 변환하여 프록시웨어와 SEO 사기를 용이하게 하도록 특별히 설계되었습니다. 또한 검색 엔진에 제공되는 콘텐츠를 변경하여 알고리즘을 조작하고 공격자가 타겟으로 삼은 웹사이트의 순위를 개선할 수 있습니다.

조사에서 가장 눈에 띄는 결과 중 하나는 IIS 맬웨어의 다양성이며, 특히 SEO 사기에 사용된다는 것입니다. 이 맬웨어는 검색 엔진 알고리즘을 조작하여 타사 웹사이트의 가시성과 평판을 높이는 데 사용됩니다.

연구자들이 발견한 가장 최근의 공격은 보석, 미디어, 연구 서비스, 의료, 비디오 및 TV 제작, 제조업, 운송, 종교 및 영적 단체, IT 서비스, 국제 관계, 농업, 스포츠, 심지어 풍수까지 광범위한 산업을 망라하고 있습니다.

DragonRank에 기인한 공격 체인

공격은 phpMyAdmin 및 WordPress와 같은 웹 애플리케이션의 알려진 취약성을 악용하여 오픈소스 ASPXspy 웹 셸을 배포하는 것으로 시작됩니다. 이 웹 셸은 대상 환경에 추가 도구를 도입하기 위한 게이트웨이 역할을 합니다.

캠페인의 주요 목표는 기업 웹사이트를 호스팅하는 IIS 서버를 손상시키는 것입니다. 공격자는 이러한 서버를 사용하여 BadIIS 맬웨어를 설치하고 이를 사기 활동의 플랫폼으로 재활용하는데, 여기에는 종종 포르노 및 섹스와 관련된 키워드가 포함됩니다.

이 맬웨어의 주목할 만한 특징은 C2(Command-and-Control) 서버에 연결할 때 사용자 에이전트 문자열에서 Google의 검색 엔진 크롤러를 가장하는 능력입니다. 이 전술은 일부 웹사이트 보안 조치를 회피하는 데 도움이 됩니다.

위협 행위자들이 SEO 조작에 가담하다

위협 행위자는 검색 엔진 알고리즘을 악용하거나 변경하여 검색 결과에서 웹사이트의 순위를 높이는 방식으로 SEO를 조작합니다. 이는 사기성 사이트로 트래픽을 유도하고, 사기성 콘텐츠의 가시성을 높이거나, 순위를 인위적으로 부풀리거나 낮추어 경쟁자를 방해하기 위해 수행됩니다.

DragonRank는 대상 네트워크 내의 추가 서버를 침해하는 접근 방식으로 인해 다른 Black Hat SEO 그룹과 차별화됩니다. 중국 위협 행위자들이 일반적으로 사용하는 백도어인 PlugX와 Mimikatz , PrintNotifyPotato, BadPotato, GodPotato와 같은 다양한 자격 증명 수집 도구를 사용하여 이러한 서버를 제어합니다.

악의적인 기술과 온라인 존재

이러한 공격에 사용된 PlugX 맬웨어는 DLL 사이드 로딩 기술을 사용합니다. 암호화된 페이로드를 시작하는 로더 DLL은 Windows 구조적 예외 처리(SEH) 메커니즘을 사용하여 합법적인 파일(즉, DLL 사이드 로딩에 취약한 바이너리)이 보안 경고를 트리거하지 않고 PlugX를 로드할 수 있도록 합니다.

연구자들은 위협 행위자가 'tttseo'라는 핸들로 Telegram에서 활동하고 QQ 인스턴트 메시징 앱에서 고객과 불법적인 비즈니스 거래를 수행한다는 증거를 발견했습니다. 또한 고품질 고객 서비스를 제공하며 고객의 요구에 맞는 프로모션 전략을 수립합니다.

클라이언트는 홍보하고 싶은 키워드와 웹사이트를 제출할 수 있으며, DragonRank는 이러한 사양에 따라 전략을 설계합니다. 이 그룹은 또한 특정 국가와 언어에 대한 프로모션을 타겟팅하는 데 중점을 두고 온라인 마케팅에 대한 맞춤화되고 철저한 접근 방식을 제공합니다.

트렌드

IcuApp 스크린샷

IcuApp

잠재적으로 원하지 않는 프로그램, 애드웨어, 브라우저 하이재커
잠재적으로 원치 않는 프로그램(PUP)으로부터 기기를 보호하는 것이 그 어느 때보다 중요합니다. 종종 무해해 보이는 소프트웨어와 함께 제공되는 이러한 프로그램은 개인 정보 보호, 보안 및 기기 성능에 상당한 위험을 초래할 수 있습니다. 그러한 예 중 하나는 IcuApp입니다. 이 의심스러운 애플리케이션은 침입적 기능으로 인해 사이버 보안 전문가의...

$DOGS 에어드랍 사기

불량 웹사이트
인터넷의 광범위하고 역동적인 환경에서 전술과 사기 계획은 끊임없이 진화하고 있습니다. 특히 암호화폐 부문에서 디지털 금융의 부상으로 사이버 범죄자들은 의심하지 않는 사용자를 속일 수 있는 새롭고 혁신적인 방법을 찾았습니다. 그러한 계획 중 하나인 '$DOGS 에어드랍 사기'는 웹을 탐색할 때 끊임없는 경계가 필요함을 강조하는 최근의...

Kaseek

잠재적으로 원하지 않는 프로그램, 브라우저 하이재커
오늘날 기기의 보안은 그 어느 때보다 더 중요합니다. 주의해야 할 위협 중 하나는 잠재적으로 원치 않는 프로그램(PUP)으로, 시스템 성능과 개인 정보를 손상시킬 수 있습니다. 가장 우려되는 PUP 유형 중 하나는 브라우저 하이재커로, 브라우저 설정을 조작하여 안전하지 않은 목적을 달성할 수 있습니다. Kaseek으로 알려진 이러한 하이재커 중 하나는...

가장 많이 본

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

문제
83,414
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

문제
64,598
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
로드 중...