Rabatttilbud for flere lisenser
Trusseldatabase Skadelig programvare BadIIS-skadevare

BadIIS-skadevare

Med Mezo i Skadelig programvare
Oversett til:

Forskere innen nettsikkerhet har avdekket en sofistikert SEO-forgiftningskampanje, som antas å være utført av en kinesisktalende trusselaktør. Angrepene er primært rettet mot Øst- og Sørøst-Asia, med særlig fokus på Vietnam. Denne kampanjen er assosiert med skadelig programvare kalt BadIIS og spores under navnet CL-UNK-1037. Det er verdt å merke seg at trusselaktøren viser infrastruktur- og arkitekturoverlappinger med enheter identifisert som Group 9 og DragonRank.

Hvordan SEO-forgiftning fungerer

SEO-forgiftning innebærer å manipulere søkemotorresultater for å lure brukere til å besøke uventede eller ondsinnede nettsteder, som for eksempel gambling- eller vokseninnholdsportaler, for økonomisk vinning. I denne kampanjen utnytter angriperne en innebygd IIS-modul, BadIIS, for å servere ondsinnet innhold fra legitime, men kompromitterte servere.

BadIIS-funksjoner inkluderer:

  • Avlytte og endre innkommende HTTP-trafikk.
  • Å sette inn nøkkelord og -fraser i anerkjente nettsteder for å manipulere rangeringer i søkemotorer.
  • Flagging av besøkende fra søkemotorroboter ved hjelp av User-Agent-headeren og henting av forgiftet innhold fra en Command-and-Control (C2)-server.

Denne tilnærmingen gjør at kompromitterte nettsteder rangerer høyt for målrettede søkeord, noe som til slutt omdirigerer intetanende brukere til svindelsider.

Angrepets livssyklus

SEO-forgiftningsangrepet følger en prosess i flere trinn:

Å bygge lokkemiddelet : Angripere mater manipulert innhold til søkemotorroboter, noe som får det kompromitterte nettstedet til å virke relevant for urelaterte søkeord.

Å legge fellen på bordet : Ofre som søker etter disse søkeordene støter på nettsteder som ser legitime ut, men som er kompromitterte, og som omdirigerer dem til ondsinnede destinasjoner.

I minst én kjent hendelse utnyttet angripere tilgang fra søkemotorroboter til å eskalere angrep ved å opprette nye lokale kontoer, distribuere webshells, eksfiltrere kildekode og installere ekstra BadIIS-implantater for vedvarende ekstern tilgang.

Verktøy og varianter brukt

Trusselaktøren bruker flere verktøy og varianter for å oppnå SEO-manipulasjon og trafikkontroll:

  • Lett ASP.NET-sidebehandler for proxying av skadelig innhold.
  • Administrert .NET IIS-modul for inspeksjon/endring av forespørsler og injisering av spam-lenker/-nøkkelord.
  • Alt-i-ett PHP-skript som kombinerer brukeromdirigering og dynamisk SEO-forgiftning.

Alle implantater er tilpasset for å kontrollere søkemotorresultater og trafikkflyt, noe som demonstrerer en svært koordinert operasjon.

Attribusjon og språklige bevis

Forskerne har stor tiltro til at denne aktiviteten utføres av en kinesisktalende trusselaktør. Denne konklusjonen støttes av:

  • Direkte språklige bevis funnet i skadevaren og infrastrukturen.
  • Arkitektoniske og operative koblinger som forbinder aktøren med Gruppe 9-klyngen.

Operation Rewrite eksemplifiserer hvordan sofistikerte trusselaktører utnytter SEO-forgiftning, IIS-sårbarheter og webserverkompromitteringer for å omdirigere trafikk og utføre økonomisk motiverte angrep.

Trender

Mest sett

Laster inn...