BadIIS ļaunprātīga programmatūra
Apdraudējuma aktieris, kurš sazinās vienkāršotā ķīniešu valodā, ir saistīts ar jaunu kampaņu, kuras mērķauditorija ir Āzijas un Eiropas valstis. Kampaņas mērķis ir manipulēt ar meklētājprogrammu klasifikāciju, izmantojot SEO taktiku. Šī Black Hat SEO kampaņa, ko kiberdrošības pētnieki nodēvējuši par DragonRank, ir ietekmējusi reģionus, tostarp Taizemi, Indiju, Dienvidkoreju, Beļģiju, Nīderlandi un Ķīnu.
DragonRank apdraud tīmekļa lietojumprogrammu pakalpojumus, lai izvietotu tīmekļa čaulas, kuras pēc tam izmanto, lai apkopotu sistēmas informāciju un piegādātu ļaunprātīgu programmatūru, piemēram, PlugX un BadIIS. Šie uzbrukumi ir noveduši pie 35 interneta informācijas pakalpojumu (IIS) serveru kompromitēšanas, kuru mērķis ir instalēt BadIIS ļaunprātīgu programmatūru, kas pirmo reizi tika identificēta 2021. gada augustā.
Satura rādītājs
Uzbrucēji pārņem apdraudētos IIS serverus
Ļaunprātīga programmatūra ir īpaši izstrādāta, lai atvieglotu starpniekservera un SEO krāpšanu, pārvēršot apdraudēto IIS serveri par pārraides punktu krāpnieciskai saziņai starp apdraudējuma dalībniekiem un viņu upuriem. Turklāt tas var mainīt saturu, kas tiek rādīts meklētājprogrammām, lai manipulētu ar algoritmiem un uzlabotu uzbrucēju atlasīto vietņu klasifikāciju.
Viens no pārsteidzošākajiem izmeklēšanas atklājumiem ir IIS ļaunprātīgās programmatūras daudzpusība, jo īpaši tās izmantošana SEO krāpšanai. Šī ļaunprātīgā programmatūra tiek izmantota, lai manipulētu ar meklētājprogrammu algoritmiem, uzlabojot trešo pušu vietņu redzamību un reputāciju.
Jaunākie pētnieku atklātie uzbrukumi aptver plašu nozaru loku, tostarp juvelierizstrādājumu, plašsaziņas līdzekļu, pētniecības pakalpojumu, veselības aprūpes, video un televīzijas producēšanas, ražošanas, transporta, reliģisko un garīgo organizāciju, IT pakalpojumu, starptautisko attiecību, lauksaimniecības, sporta un pat fengu nozares. šui.
Uzbrukuma ķēde, kas saistīta ar DragonRank
Uzbrukums sākas, izmantojot zināmās ievainojamības tīmekļa lietojumprogrammās, piemēram, phpMyAdmin un WordPress, lai izvietotu atvērtā koda ASPXspy tīmekļa čaulu. Šis Web apvalks pēc tam kalpo kā vārteja papildu rīku ieviešanai mērķa vidē.
Kampaņas galvenais mērķis ir kompromitēt IIS serverus, kas mitina korporatīvās vietnes. Uzbrucēji izmanto šos serverus, lai instalētu BadIIS ļaunprātīgu programmatūru, pārvēršot tos par platformām krāpnieciskām darbībām, kas bieži vien ietver atslēgvārdus, kas saistīti ar pornogrāfiju un seksu.
Ievērojama ļaunprātīgas programmatūras iezīme ir tās spēja uzdoties par Google meklētājprogrammas rāpuļprogrammu tās User-Agent virknē, kad tiek izveidots savienojums ar Command-and-Control (C2) serveri. Šī taktika palīdz izvairīties no dažiem vietņu drošības pasākumiem.
Draudu dalībnieki iesaistās SEO manipulācijās
Draudu dalībnieks manipulē ar SEO, izmantojot vai mainot meklētājprogrammu algoritmus, lai uzlabotu vietnes rangu meklēšanas rezultātos. Tas tiek darīts, lai novirzītu datplūsmu uz krāpnieciskām vietnēm, palielinātu krāpnieciska satura redzamību vai traucētu konkurentiem, mākslīgi palielinot vai pazeminot reitingus.
DragonRank izceļas no citām Black Hat SEO grupām, pateicoties tās pieejai, kas pārkāpj papildu serverus mērķa tīklā. Tas saglabā kontroli pār šiem serveriem, izmantojot PlugX — aizmugures durvis, ko parasti izmanto Ķīnas apdraudējumu dalībnieki, un dažādus akreditācijas datu vākšanas rīkus, piemēram, Mimikatz , PrintNotifyPotato, BadPotato un GodPotato.
Ļaunprātīgas metodes un tiešsaistes klātbūtne
Šajos uzbrukumos izmantotā PlugX ļaunprātīgā programmatūra izmanto DLL sānu ielādes metodes. Ielādētāja DLL, kas iniciē šifrēto lietderīgo slodzi, izmanto Windows strukturēto izņēmumu apstrādes (SEH) mehānismu, lai nodrošinātu, ka likumīgais fails (ti, binārs, kas ir pakļauts DLL sānu ielādei) var ielādēt PlugX, neizraisot nekādus drošības brīdinājumus.
Pētnieki ir atraduši pierādījumus tam, ka draudu aktieris darbojas telegrammā ar rokturi “tttseo” un QQ tūlītējās ziņojumapmaiņas lietotnē, kur viņi veic nelikumīgus biznesa darījumus ar klientiem. Viņi arī nodrošina šķietami augstas kvalitātes klientu apkalpošanu, veidojot klientu vajadzībām pielāgotas reklāmas stratēģijas.
Klienti var iesniegt atslēgvārdus un vietnes, kuras vēlas reklamēt, un DragonRank izstrādā stratēģiju, pamatojoties uz šīm specifikācijām. Grupa koncentrējas arī uz reklāmu mērķauditorijas atlasi noteiktās valstīs un valodās, piedāvājot pielāgotu un rūpīgu pieeju tiešsaistes mārketingam.
