BadIIS kenkėjiška programa
Kibernetinio saugumo tyrėjai atskleidė sudėtingą SEO užkrėtimo kampaniją, kurią, kaip manoma, vykdė kinų kalba kalbantis grėsmės veikėjas. Atakos daugiausia nukreiptos į Rytų ir Pietryčių Aziją, ypatingą dėmesį skiriant Vietnamui. Ši kampanija siejama su kenkėjiška programa, vadinama „BadIIS“, ir yra sekama pagal pavadinimą CL-UNK-1037. Pažymėtina, kad grėsmės veikėjas rodo infrastruktūros ir architektūros sutapimus su subjektais, identifikuotais kaip „Group 9“ ir „DragonRank“.
Turinys
Kaip veikia SEO apsinuodijimas
SEO užkrėtimas – tai paieškos sistemų rezultatų manipuliavimas, siekiant apgauti vartotojus, kad jie apsilankytų netikėtose ar kenkėjiškose svetainėse, pavyzdžiui, lošimų ar suaugusiųjų turinio portaluose, siekdami finansinės naudos. Šioje kampanijoje užpuolikai išnaudoja vietinį IIS modulį „BadIIS“, kad pateiktų kenkėjišką turinį iš teisėtų, bet pažeistų serverių.
„BadIIS“ funkcijos apima:
- Įeinančio HTTP srauto perėmimas ir modifikavimas.
- Raktinių žodžių ir frazių įterpimas į patikimas svetaines siekiant manipuliuoti paieškos sistemų reitingais.
- Paieškos sistemų lankytojų žymėjimas naudojant „User-Agent“ antraštę ir užkrėsto turinio gavimas iš „Command-and-Control“ (C2) serverio.
Toks metodas leidžia pažeistoms svetainėms užimti aukštas pozicijas pagal tikslines paieškos frazes, galiausiai nukreipiant nieko neįtariančius vartotojus į sukčiavimo svetaines.
Atakos gyvavimo ciklas
SEO apsinuodijimo ataka vyksta keliais etapais:
Masalo kūrimas : užpuolikai paieškos sistemų robotams pateikia manipuliuojamą turinį, todėl užgrobta svetainė atrodo aktuali pagal nesusijusius paieškos terminus.
Spąstų paskleidimas : šių terminų ieškančios aukos aptinka teisėtai atrodančias, bet pažeistas svetaines, kurios nukreipia jas į kenkėjiškas svetaines.
Bent vieno žinomo incidento metu užpuolikai pasinaudojo paieškos sistemų skaitytuvų prieiga, kad eskaluotų atakas kurdami naujas vietines paskyras, diegdami žiniatinklio apvalkalus, išfiltruodami šaltinio kodą ir įdiegdami papildomus „BadIIS“ implantus, kad būtų užtikrinta nuolatinė nuotolinė prieiga.
Naudoti įrankiai ir variantai
Grėsmės veikėjas naudoja įvairius įrankius ir jų variantus, kad manipuliuotų SEO ir kontroliuotų srautą:
- Lengva ASP.NET puslapių tvarkyklė kenkėjiškam turiniui perduoti per tarpinį serverį.
- Tvarkomas .NET IIS modulis užklausoms tikrinti / modifikuoti ir šlamšto nuorodoms / raktažodžiams įterpti.
- Viskas viename PHP scenarijus, apjungiantis vartotojų peradresavimą ir dinaminį SEO optimizavimą.
Visi implantai yra pritaikyti valdyti paieškos sistemų rezultatus ir srautą, o tai rodo labai koordinuotą veikimą.
Priskyrimas ir lingvistiniai įrodymai
Tyrėjai yra tvirtai įsitikinę, kad šią veiklą vykdo kiniškai kalbantis grėsmės veikėjas. Šią išvadą patvirtina:
- Kenkėjiškoje programoje ir infrastruktūroje rasti tiesioginiai lingvistiniai įrodymai.
- Architektūriniai ir operaciniai ryšiai, jungiantys veikėją su 9 grupės klasteriu.
„Operation Rewrite“ iliustruoja, kaip sudėtingi grėsmių veikėjai naudojasi SEO užkrėtimu, IIS pažeidžiamumais ir žiniatinklio serverių kompromitacija, kad nukreiptų srautą ir vykdytų finansiškai motyvuotas atakas.
