BadIIS skadelig programvare
En trusselaktør som kommuniserer på forenklet kinesisk har blitt knyttet til en ny kampanje rettet mot land over hele Asia og Europa. Kampanjens mål er å manipulere søkemotorrangeringer gjennom SEO-taktikker. Denne Black Hat SEO-kampanjen, kalt DragonRank av cybersikkerhetsforskere, har påvirket regioner inkludert Thailand, India, Sør-Korea, Belgia, Nederland og Kina.
DragonRank kompromitterer nettapplikasjonstjenester for å distribuere webskall, som deretter brukes til å samle systeminformasjon og levere skadevare som PlugX og BadIIS. Disse angrepene har ført til kompromittering av 35 Internet Information Services (IIS)-servere, med sikte på å installere BadIIS malware, først identifisert i august 2021.
Innholdsfortegnelse
Angripere tar over kompromitterte IIS-servere
Skadevaren er spesielt utviklet for å lette proxy-ware og SEO-svindel ved å konvertere den kompromitterte IIS-serveren til et relépunkt for uredelig kommunikasjon mellom trusselaktører og deres ofre. I tillegg kan det endre innholdet som vises til søkemotorer for å manipulere algoritmer og forbedre rangeringen av nettsteder som er målrettet av angriperne.
Et av de mest slående funnene i etterforskningen er allsidigheten til IIS-malware, spesielt når det gjelder bruk for SEO-svindel. Denne skadevare utnyttes til å manipulere søkemotoralgoritmer, og forbedrer synligheten og omdømmet til tredjeparts nettsteder.
De siste angrepene avdekket av forskere dekker et bredt spekter av bransjer, inkludert smykker, media, forskningstjenester, helsevesen, video- og TV-produksjon, produksjon, transport, religiøse og åndelige organisasjoner, IT-tjenester, internasjonale anliggender, landbruk, sport og til og med feng shui.
Angrepskjede tilskrevet DragonRank
Angrepet begynner med å utnytte kjente sårbarheter i nettapplikasjoner som phpMyAdmin og WordPress for å distribuere åpen kildekode ASPXspy-nettskallet. Dette web-skallet fungerer deretter som en inngangsport for å introdusere ytterligere verktøy i målmiljøet.
Hovedmålet med kampanjen er å kompromittere IIS-servere som er vert for bedriftens nettsteder. Angriperne bruker disse serverne til å installere BadIIS malware, og gjenbruker dem som plattformer for uredelige aktiviteter, ofte med nøkkelord relatert til pornografi og sex.
Et bemerkelsesverdig trekk ved skadelig programvare er dens evne til å etterligne Googles søkemotor i User-Agent-strengen når den kobles til Command-and-Control-serveren (C2). Denne taktikken hjelper den med å unngå noen sikkerhetstiltak på nettstedet.
Trusselaktører engasjerer seg i SEO-manipulasjon
Trusselaktøren manipulerer SEO ved å utnytte eller endre søkemotoralgoritmer for å øke et nettsteds rangering i søkeresultatene. Dette gjøres for å lede trafikk til uredelige nettsteder, øke synligheten til uredelig innhold eller forstyrre konkurrenter ved å kunstig blåse opp eller deflatere rangeringer.
DragonRank skiller seg ut fra andre Black Hat SEO-grupper på grunn av sin tilnærming til å bryte flere servere innenfor målets nettverk. Den opprettholder kontrollen over disse serverne ved å bruke PlugX, en bakdør som ofte brukes av kinesiske trusselaktører, og ulike verktøy for innsamling av legitimasjon som Mimikatz , PrintNotifyPotato, BadPotato og GodPotato.
Ondsinnede teknikker og online tilstedeværelse
PlugX malware som brukes i disse angrepene bruker DLL side-loading teknikker. Laster-DLL-en som starter den krypterte nyttelasten bruker Windows Structured Exception Handling-mekanismen (SEH) for å sikre at den legitime filen (dvs. den binære som er utsatt for DLL-sidelasting) kan laste PlugX uten å utløse sikkerhetsvarsler.
Forskere har funnet bevis for at trusselaktøren opererer på Telegram under håndtaket «tttseo» og på QQ direktemeldingsappen, der de utfører ulovlige forretningstransaksjoner med klienter. De gir også det som ser ut til å være kundeservice av høy kvalitet, og skaper salgsfremmende strategier skreddersydd til kundenes behov.
Kunder kan sende inn nøkkelord og nettsteder de ønsker å markedsføre, og DragonRank utformer en strategi basert på disse spesifikasjonene. Gruppen fokuserer også på å målrette kampanjer for spesifikke land og språk, og tilbyr en tilpasset og grundig tilnærming til online markedsføring.
