Sebut Harga Diskaun Berbilang Lesen
Pangkalan Data Ancaman perisian hasad Perisian Hasad BadIIS

Perisian Hasad BadIIS

Menjelang Mezo pada perisian hasad
Terjemahkan ke

Penyelidik keselamatan siber telah menemui kempen keracunan SEO yang canggih, dipercayai dijalankan oleh seorang pelakon ancaman berbahasa Cina. Serangan terutamanya menyasarkan Asia Timur dan Tenggara, dengan tumpuan khusus pada Vietnam. Kempen ini dikaitkan dengan perisian hasad yang dipanggil BadIIS dan dijejaki di bawah nama CL-UNK-1037. Terutama, aktor ancaman menunjukkan pertindihan infrastruktur dan seni bina dengan entiti yang dikenal pasti sebagai Kumpulan 9 dan DragonRank.

Bagaimana Keracunan SEO Berfungsi

Keracunan SEO melibatkan memanipulasi hasil enjin carian untuk menipu pengguna supaya melawati tapak web yang tidak dijangka atau berniat jahat, seperti perjudian atau portal kandungan dewasa, untuk keuntungan kewangan. Dalam kempen ini, penyerang mengeksploitasi modul IIS asli, BadIIS, untuk menyampaikan kandungan berniat jahat daripada pelayan yang sah tetapi terjejas.

Fungsi BadIIS termasuk:

  • Memintas dan mengubah suai trafik HTTP masuk.
  • Menyuntik kata kunci dan frasa ke dalam laman web yang bereputasi untuk memanipulasi kedudukan enjin carian.
  • Menandai pelawat daripada perangkak enjin carian menggunakan pengepala Ejen Pengguna dan mengambil kandungan beracun daripada pelayan Perintah-dan-Kawalan (C2).

Pendekatan ini membolehkan tapak web yang terjejas mendapat kedudukan tinggi untuk istilah carian yang disasarkan, akhirnya mengubah hala pengguna yang tidak curiga ke tapak penipuan.

Kitaran Hayat Serangan

Serangan keracunan SEO mengikut proses pelbagai langkah:

Membina tarikan : Penyerang menyuap kandungan yang dimanipulasi kepada perangkak enjin carian, menjadikan tapak web yang terjejas kelihatan relevan untuk istilah carian yang tidak berkaitan.

Menimbulkan perangkap : Mangsa yang mencari istilah tersebut menemui tapak yang kelihatan sah tetapi terjejas, yang mengubah hala mereka ke destinasi berniat jahat.

Dalam sekurang-kurangnya satu insiden yang diketahui, penyerang memanfaatkan akses perangkak enjin carian untuk meningkatkan serangan dengan mencipta akaun tempatan baharu, menggunakan cengkerang web, mengeksfiltrasi kod sumber dan memasang implan BadIIS tambahan untuk akses jauh yang berterusan.

Alat dan Varian Digunakan

Aktor ancaman menggunakan pelbagai alat dan varian untuk mencapai manipulasi SEO dan kawalan trafik:

  • Pengendali halaman ASP.NET ringan untuk proksi kandungan berniat jahat.
  • Modul .NET IIS terurus untuk memeriksa/mengubah suai permintaan dan menyuntik pautan spam/kata kunci.
  • Skrip PHP semua-dalam-satu menggabungkan pengalihan pengguna dan keracunan SEO dinamik.

Semua implan disesuaikan untuk mengawal hasil enjin carian dan aliran trafik, menunjukkan operasi yang sangat diselaraskan.

Atribusi dan Bukti Linguistik

Pengkaji mempunyai keyakinan tinggi bahawa aktiviti ini dikendalikan oleh seorang pelakon ancaman yang berbahasa Cina. Kesimpulan ini disokong oleh:

  • Bukti linguistik langsung yang ditemui dalam perisian hasad dan infrastruktur.
  • Pautan seni bina dan operasi yang menghubungkan pelakon kepada kelompok Kumpulan 9.

Operation Rewrite mencontohkan cara pelaku ancaman yang canggih memanfaatkan keracunan SEO, kelemahan IIS dan pelayan web berkompromi untuk mengubah hala lalu lintas dan melakukan serangan bermotifkan kewangan.

Trending

Paling banyak dilihat

Memuatkan...