BadIIS kenkėjiška programa
Supaprastinta kinų kalba bendraujantis grėsmės veikėjas buvo susietas su nauja kampanija, skirta Azijos ir Europos šalims. Kampanijos tikslas – manipuliuoti paieškos sistemų reitingavimu naudojant SEO taktiką. Ši „Black Hat“ SEO kampanija, kurią kibernetinio saugumo tyrinėtojai pavadino „DragonRank“, paveikė regionus, įskaitant Tailandą, Indiją, Pietų Korėją, Belgiją, Nyderlandus ir Kiniją.
DragonRank pažeidžia žiniatinklio taikomųjų programų paslaugas, kad įdiegtų žiniatinklio apvalkalus, kurie vėliau naudojami sistemos informacijai rinkti ir kenkėjiškoms programoms, pvz., PlugX ir BadIIS, pristatyti. Dėl šių atakų buvo pažeisti 35 interneto informacijos paslaugų (IIS) serveriai, kurių tikslas buvo įdiegti BadIIS kenkėjišką programą, pirmą kartą aptiktą 2021 m. rugpjūčio mėn.
Turinys
Užpuolikai perima pažeistus IIS serverius
Kenkėjiška programa yra specialiai sukurta siekiant palengvinti tarpinio serverio ir SEO sukčiavimą, paverčiant pažeistą IIS serverį perdavimo tašku, skirtu nesąžiningam ryšiui tarp grėsmės veikėjų ir jų aukų. Be to, jis gali pakeisti paieškos sistemoms teikiamą turinį, kad būtų galima manipuliuoti algoritmais ir pagerinti svetainių, į kurias taikosi užpuolikai, reitingą.
Vienas ryškiausių tyrimo išvadų yra IIS kenkėjiškų programų universalumas, ypač jos naudojimas SEO sukčiavimui. Ši kenkėjiška programa naudojama manipuliuoti paieškos variklio algoritmais, didinant trečiųjų šalių svetainių matomumą ir reputaciją.
Naujausi mokslininkų atskleisti išpuoliai apima įvairias pramonės šakas, įskaitant juvelyrikos, žiniasklaidos, tyrimų paslaugas, sveikatos priežiūrą, vaizdo ir televizijos produkciją, gamybą, transportavimą, religines ir dvasines organizacijas, IT paslaugas, tarptautinius reikalus, žemės ūkį, sportą ir net fengą. shui.
„DragonRank“ priskirta puolimo grandinė
Ataka prasideda išnaudojant žinomas žiniatinklio programų, tokių kaip phpMyAdmin ir WordPress, pažeidžiamumą, kad būtų įdiegtas atvirojo kodo ASPXspy žiniatinklio apvalkalas. Tada šis žiniatinklio apvalkalas naudojamas kaip vartai į tikslinę aplinką įvesti papildomus įrankius.
Pagrindinis kampanijos tikslas – pakenkti IIS serveriams, kuriuose talpinamos įmonių svetainės. Užpuolikai naudoja šiuos serverius, norėdami įdiegti BadIIS kenkėjiškas programas ir panaudoti jas kaip platformas nesąžiningai veiklai, dažnai įtraukiant raktinius žodžius, susijusius su pornografija ir seksu.
Ypatinga kenkėjiškos programos savybė yra jos gebėjimas apsimesti „Google“ paieškos variklio tikrinimo programa vartotojo agento eilutėje, kai prisijungiama prie komandų ir valdymo (C2) serverio. Ši taktika padeda išvengti kai kurių svetainės saugumo priemonių.
Grėsmės veikėjai manipuliuoja SEO
Grėsmės veikėjas manipuliuoja SEO naudodamas arba keisdamas paieškos variklio algoritmus, kad padidintų svetainės reitingą paieškos rezultatuose. Tai daroma siekiant nukreipti srautą į apgaulingas svetaines, padidinti apgaulingo turinio matomumą arba trikdyti konkurentus dirbtinai padidinant ar sumažinant reitingus.
„DragonRank“ išsiskiria iš kitų „Black Hat“ SEO grupių dėl savo požiūrio į papildomus tikslinio tinklo serverius. Jis palaiko šių serverių valdymą naudodamas „PlugX“ – užpakalines duris, kurias dažniausiai naudoja Kinijos grėsmių veikėjai, ir įvairius kredencialų rinkimo įrankius, tokius kaip „Mimikatz“ , „PrintNotifyPotato“, „BadPotato“ ir „GodPotato“.
Kenkėjiškos technikos ir buvimas internete
Šiose atakose naudojama PlugX kenkėjiška programa naudoja DLL šoninio įkėlimo metodus. Įkroviklio DLL, kuris inicijuoja šifruotą naudingą apkrovą, naudoja „Windows“ struktūrinių išimčių tvarkymo (SEH) mechanizmą, kad užtikrintų, jog teisėtas failas (ty dvejetainis, linkęs į DLL šoninį įkėlimą) galėtų įkelti „PlugX“ nesukeldamas jokių saugos įspėjimų.
Tyrėjai rado įrodymų, kad grėsmės veikėjas veikia „Telegram“ su rankena „tttseo“ ir „QQ“ momentinių pranešimų programoje, kur vykdo neteisėtus verslo sandorius su klientais. Jie taip pat teikia aukštos kokybės klientų aptarnavimą, kurdami reklamos strategijas, pritaikytas jų klientų poreikiams.
Klientai gali pateikti raktinius žodžius ir svetaines, kurias nori reklamuoti, o „DragonRank“ kuria strategiją, pagrįstą šiomis specifikacijomis. Grupė taip pat sutelkia dėmesį į reklamų taikymą konkrečioms šalims ir kalboms, siūlydama individualų ir išsamų požiūrį į internetinę rinkodarą.
