BadIIS ļaunprogrammatūra

Kiberdrošības pētnieki ir atklājuši sarežģītu SEO saindēšanas kampaņu, ko, domājams, īsteno ķīniešu valodā runājošs apdraudējumu izpildītājs. Uzbrukumi galvenokārt ir vērsti uz Austrumāziju un Dienvidaustrumāziju, īpašu uzmanību pievēršot Vjetnamai. Šī kampaņa ir saistīta ar ļaunprogrammatūru ar nosaukumu BadIIS un tiek izsekota ar nosaukumu CL-UNK-1037. Jāatzīmē, ka apdraudējumu izpildītājs uzrāda infrastruktūras un arhitektūras pārklāšanos ar vienībām, kas identificētas kā Group 9 un DragonRank.

Kā darbojas SEO saindēšanās

SEO piesārņošana ietver meklētājprogrammu rezultātu manipulēšanu, lai maldinātu lietotājus apmeklēt negaidītas vai ļaunprātīgas vietnes, piemēram, azartspēļu vai pieaugušajiem paredzēta satura portālus, finansiāla labuma gūšanai. Šajā kampaņā uzbrucēji izmanto vietējo IIS moduli BadIIS, lai piegādātu ļaunprātīgu saturu no likumīgiem, bet apdraudētiem serveriem.

BadIIS funkcijas ietver:

• Ienākošās HTTP datplūsmas pārtveršana un modificēšana.
• Atslēgvārdu un frāžu ievadīšana cienījamās tīmekļa vietnēs, lai manipulētu ar meklētājprogrammu ranžēšanu.
• Apmeklētāju atzīmēšana no meklētājprogrammu robotiem, izmantojot lietotāja aģenta galveni, un saindēta satura izgūšana no komandu un vadības (C2) servera.

Šī pieeja ļauj apdraudētām vietnēm ieņemt augstu vietu mērķtiecīgos meklēšanas terminos, galu galā novirzot neko nenojaušošus lietotājus uz krāpnieciskām vietnēm.

Uzbrukuma dzīves cikls

SEO saindēšanās uzbrukums notiek vairākos posmos:

Vilinājuma veidošana : uzbrucēji meklētājprogrammu robotiem pievada manipulētu saturu, padarot apdraudēto vietni atbilstošu nesaistītiem meklēšanas vaicājumiem.

Slazdu atklāšana : upuri, meklējot šos terminus, sastopas ar šķietami likumīgām, bet apdraudētām vietnēm, kas viņus novirza uz ļaunprātīgām vietnēm.

Vismaz vienā zināmā incidentā uzbrucēji izmantoja meklētājprogrammu rāpuļprogrammu piekļuvi, lai eskalētu uzbrukumus, izveidojot jaunus lokālos kontus, izvietojot tīmekļa čaulas, izgūstot pirmkodu un instalējot papildu BadIIS implantus pastāvīgai attālinātai piekļuvei.

Izmantotie rīki un varianti

Draudu izpildītājs izmanto vairākus rīkus un to variantus, lai panāktu SEO manipulācijas un datplūsmas kontroli:

• Viegls ASP.NET lapu apstrādātājs ļaunprātīga satura starpniekservera izveidei.
• Pārvaldīts .NET IIS modulis pieprasījumu pārbaudei/modificēšanai un surogātpasta saišu/atslēgvārdu ievadīšanai.

• Viss vienā PHP skripts, kas apvieno lietotāju pāradresāciju un dinamisko SEO optimizāciju.

Visi implanti ir pielāgoti, lai kontrolētu meklētājprogrammu rezultātus un datplūsmu, demonstrējot ļoti koordinētu darbību.

Atribūcija un lingvistiskie pierādījumi

Pētniekiem ir liela pārliecība, ka šo darbību veic ķīniešu valodā runājošs apdraudējuma izpildītājs. Šo secinājumu apstiprina:

• Tieši lingvistiski pierādījumi atrasti ļaunprogrammatūrā un infrastruktūrā.
• Arhitektūras un operacionālās saites, kas savieno dalībnieku ar 9. grupas klasteri.

“Operation Rewrite” ilustrē to, kā sarežģīti apdraudējumu radītāji izmanto SEO piesārņojumu, IIS ievainojamības un tīmekļa serveru apdraudējumus, lai novirzītu datplūsmu un veiktu finansiāli motivētus uzbrukumus.