Perisian Hasad BadIIS
Seorang pelakon ancaman yang berkomunikasi dalam bahasa Cina ringkas telah dikaitkan dengan kempen baharu yang menyasarkan negara di seluruh Asia dan Eropah. Matlamat kempen adalah untuk memanipulasi kedudukan enjin carian melalui taktik SEO. Kempen SEO Black Hat ini, yang digelar DragonRank oleh penyelidik keselamatan siber, telah memberi kesan kepada wilayah termasuk Thailand, India, Korea Selatan, Belgium, Belanda dan China.
DragonRank menjejaskan perkhidmatan aplikasi Web untuk menggunakan cangkerang Web, yang kemudiannya digunakan untuk mengumpulkan maklumat sistem dan menghantar perisian hasad seperti PlugX dan BadIIS. Serangan ini telah membawa kepada kompromi 35 pelayan Perkhidmatan Maklumat Internet (IIS), yang akhirnya bertujuan untuk memasang perisian hasad BadIIS, yang mula dikenal pasti pada Ogos 2021.
Isi kandungan
Penyerang Mengambil Alih Pelayan IIS yang Terkompromi
Malware ini direka khusus untuk memudahkan perisian proksi dan penipuan SEO dengan menukar pelayan IIS yang terjejas menjadi titik penyampaian untuk komunikasi penipuan antara pelaku ancaman dan mangsa mereka. Selain itu, ia boleh mengubah kandungan yang disampaikan kepada enjin carian untuk memanipulasi algoritma dan meningkatkan kedudukan tapak web yang disasarkan oleh penyerang.
Salah satu penemuan penyiasatan yang paling menarik ialah kepelbagaian perisian hasad IIS, terutamanya dalam penggunaannya untuk penipuan SEO. Malware ini dieksploitasi untuk memanipulasi algoritma enjin carian, meningkatkan keterlihatan dan reputasi tapak web pihak ketiga.
Serangan terbaharu yang ditemui oleh penyelidik meliputi pelbagai industri, termasuk barang kemas, media, perkhidmatan penyelidikan, penjagaan kesihatan, pengeluaran video dan televisyen, pembuatan, pengangkutan, organisasi keagamaan dan rohani, perkhidmatan IT, hal ehwal antarabangsa, pertanian, sukan dan juga feng Shui.
Rantaian Serangan Dikaitkan dengan DragonRank
Serangan bermula dengan mengeksploitasi kelemahan yang diketahui dalam aplikasi Web seperti phpMyAdmin dan WordPress untuk menggunakan shell web ASPXspy sumber terbuka. Cangkang Web ini kemudiannya berfungsi sebagai pintu masuk untuk memperkenalkan alat tambahan ke dalam persekitaran sasaran.
Matlamat utama kempen ini adalah untuk menjejaskan pelayan IIS yang mengehos laman web korporat. Penyerang menggunakan pelayan ini untuk memasang perisian hasad BadIIS, menjadikannya semula sebagai platform untuk aktiviti penipuan, selalunya melibatkan kata kunci yang berkaitan dengan pornografi dan seks.
Ciri yang ketara bagi perisian hasad ialah keupayaannya untuk menyamar sebagai perangkak enjin carian Google dalam rentetan Agen Penggunanya apabila menyambung ke pelayan Perintah-dan-Kawalan (C2). Taktik ini membantunya mengelak beberapa langkah keselamatan tapak web.
Ancaman Pelakon Terlibat dalam Manipulasi SEO
Aktor ancaman memanipulasi SEO dengan mengeksploitasi atau mengubah algoritma enjin carian untuk meningkatkan kedudukan tapak web dalam hasil carian. Ini dilakukan untuk mendorong trafik ke tapak penipuan, meningkatkan keterlihatan kandungan penipuan atau mengganggu pesaing dengan menaikkan atau mengecilkan kedudukan secara buatan.
DragonRank menonjol daripada kumpulan SEO Black Hat yang lain kerana pendekatannya yang melanggar pelayan tambahan dalam rangkaian sasaran. Ia mengekalkan kawalan ke atas pelayan ini menggunakan PlugX, pintu belakang yang biasa digunakan oleh pelakon ancaman China, dan pelbagai alatan penuaian kelayakan seperti Mimikatz , PrintNotifyPotato, BadPotato dan GodPotato.
Teknik Hasad dan Kehadiran Dalam Talian
Malware PlugX yang digunakan dalam serangan ini menggunakan teknik pemuatan sisi DLL. DLL pemuat yang memulakan muatan yang disulitkan menggunakan mekanisme Windows Structured Exception Handling (SEH) untuk memastikan fail yang sah (iaitu, perduaan yang terdedah kepada pemuatan sisi DLL) boleh memuatkan PlugX tanpa mencetuskan sebarang amaran keselamatan.
Penyelidik telah menemui bukti bahawa pelaku ancaman beroperasi di Telegram di bawah pemegang 'tttseo' dan pada aplikasi pemesejan segera QQ, di mana mereka menjalankan transaksi perniagaan haram dengan pelanggan. Mereka juga menyediakan perkhidmatan pelanggan yang kelihatan berkualiti tinggi, mencipta strategi promosi yang disesuaikan dengan keperluan pelanggan mereka.
Pelanggan boleh menyerahkan kata kunci dan tapak web yang mereka ingin promosikan, dan DragonRank mereka bentuk strategi berdasarkan spesifikasi ini. Kumpulan itu juga menumpukan pada menyasarkan promosi untuk negara dan bahasa tertentu, menawarkan pendekatan yang disesuaikan dan teliti untuk pemasaran dalam talian.
