BadIIS मालवेयर

सरलीकृत चिनियाँ भाषामा सञ्चार गर्ने एक खतरा अभिनेतालाई एशिया र युरोपभरिका देशहरूलाई लक्षित गर्ने नयाँ अभियानसँग जोडिएको छ। अभियानको लक्ष्य एसईओ रणनीतिहरू मार्फत खोज इन्जिन रैंकिंगहरू हेरफेर गर्नु हो। यो ब्ल्याक ह्याट एसईओ अभियान, साइबरसुरक्षा अनुसन्धानकर्ताहरु द्वारा DragonRank डब, थाईल्याण्ड, भारत, दक्षिण कोरिया, बेल्जियम, नेदरल्याण्ड, र चीन लगायतका क्षेत्रहरु लाई प्रभाव पारेको छ।

DragonRank ले वेब शेलहरू डिप्लोय गर्न वेब एप्लिकेसन सेवाहरूलाई सम्झौता गर्छ, जुन त्यसपछि प्रणाली जानकारी सङ्कलन गर्न र PlugX र BadIIS जस्ता मालवेयर डेलिभर गर्न प्रयोग गरिन्छ। यी आक्रमणहरूले 35 वटा इन्टरनेट सूचना सेवाहरू (IIS) सर्भरहरूको सम्झौतामा निम्त्याएको छ, अन्तत: अगस्ट 2021 मा पहिलो पटक पहिचान गरिएको BadIIS मालवेयर स्थापना गर्ने लक्ष्य राखेको छ।

आक्रमणकारीहरूले सम्झौता गरिएको IIS सर्भरहरू कब्जा गर्छन्

मालवेयर विशेष गरी प्रोक्सी वेयर र एसईओ धोखाधडी को सुविधा को लागी डिजाइन गरिएको छ IIS सर्भर लाई रिले बिन्दु मा रूपान्तरण गरेर खतरा अभिनेताहरु र उनीहरुका पीडितहरु बीच धोखाधड़ी संचार को लागी। थप रूपमा, यसले एल्गोरिदमहरू हेरफेर गर्न र आक्रमणकारीहरूद्वारा लक्षित वेबसाइटहरूको रैंकिंग सुधार गर्न खोज इन्जिनहरूमा सेवा प्रदान गर्ने सामग्री परिवर्तन गर्न सक्छ।

अनुसन्धानको सबैभन्दा उल्लेखनीय निष्कर्षहरू मध्ये एक IIS मालवेयरको बहुमुखी प्रतिभा हो, विशेष गरी SEO धोखाधडीको लागि यसको प्रयोगमा। यो मालवेयर खोज इन्जिन एल्गोरिदमहरू हेरफेर गर्न, तेस्रो-पक्ष वेबसाइटहरूको दृश्यता र प्रतिष्ठा बृद्धि गर्न शोषण गरिन्छ।

अन्वेषकहरूले पत्ता लगाएको सबैभन्दा भर्खरको आक्रमणहरूले गहना, मिडिया, अनुसन्धान सेवाहरू, स्वास्थ्य सेवा, भिडियो र टेलिभिजन उत्पादन, निर्माण, यातायात, धार्मिक र आध्यात्मिक संगठनहरू, आईटी सेवाहरू, अन्तर्राष्ट्रिय मामिलाहरू, कृषि, खेलकुद र यहाँ सम्म कि फेंग सहित उद्योगहरूको विस्तृत दायरालाई कभर गर्दछ। शुई।

आक्रमण श्रृंखला DragonRank मा एट्रिब्यूट

खुला स्रोत ASPXspy वेब शेल प्रयोग गर्न phpMyAdmin र WordPress जस्ता वेब अनुप्रयोगहरूमा ज्ञात कमजोरीहरूको शोषण गरेर आक्रमण सुरु हुन्छ। यो वेब शेलले लक्षित वातावरणमा थप उपकरणहरू परिचय गर्नको लागि गेटवेको रूपमा कार्य गर्दछ।

अभियानको मुख्य लक्ष्य कर्पोरेट वेबसाइटहरू होस्ट गर्ने IIS सर्भरहरू सम्झौता गर्नु हो। आक्रमणकारीहरूले यी सर्भरहरू BadIIS मालवेयर स्थापना गर्न प्रयोग गर्छन्, तिनीहरूलाई धोखाधडी गतिविधिहरूको लागि प्लेटफर्मको रूपमा पुन: प्रस्तुत गर्दै, प्राय: पोर्नोग्राफी र सेक्ससँग सम्बन्धित कीवर्डहरू समावेश गर्दछ।

मालवेयरको एक उल्लेखनीय विशेषता भनेको कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरमा जडान गर्दा यसको प्रयोगकर्ता-एजेन्ट स्ट्रिङमा गुगलको खोज इन्जिन क्रलरको प्रतिरूपण गर्ने क्षमता हो। यो रणनीतिले केही वेबसाइट सुरक्षा उपायहरूबाट बच्न मद्दत गर्दछ।

थ्रेट अभिनेताहरू SEO हेरफेरमा संलग्न हुन्छन्

खतरा अभिनेताले खोज परिणामहरूमा वेबसाइटको रैंकिंग बढाउन खोज इन्जिन एल्गोरिदमहरू शोषण वा परिवर्तन गरेर SEO हेरफेर गर्दछ। यो धोखाधडी साइटहरूमा ट्राफिक ड्राइभ गर्न, जालसाजी सामग्रीको दृश्यता बढाउन, वा कृत्रिम रूपमा र्याङ्किङ बढाएर वा डिफ्लाट गरेर प्रतिस्पर्धीहरूलाई बाधा पुर्‍याउन गरिन्छ।

DragonRank अन्य ब्ल्याक ह्याट एसईओ समूहहरु बाट टारगेट नेटवर्क भित्र अतिरिक्त सर्भरहरु को उल्लङ्घन को लागी यसको दृष्टिकोण को कारण खडा छ। यसले PlugX प्रयोग गरेर यी सर्भरहरूमा नियन्त्रण कायम राख्छ, जुन ब्याकडोर सामान्यतया चिनियाँ खतरा अभिनेताहरूद्वारा प्रयोग गरिन्छ, र Mimikatz , PrintNotifyPotato, BadPotato र GodPotato जस्ता विभिन्न प्रमाण-कासल गर्ने उपकरणहरू।

खराब प्रविधि र अनलाइन उपस्थिति

यी आक्रमणहरूमा प्रयोग गरिएको PlugX मालवेयरले DLL साइड-लोडिङ प्रविधिहरू प्रयोग गर्दछ। इन्क्रिप्टेड पेलोड सुरु गर्ने लोडर DLL ले वैध फाइल (जस्तै, DLL साइड-लोडिङको बाइनरी प्रवण) लाई कुनै पनि सुरक्षा अलर्टहरू ट्रिगर नगरिकन PlugX लोड गर्न सक्छ भन्ने सुनिश्चित गर्न Windows स्ट्रक्चर्ड एक्सेप्शन ह्यान्डलिंग (SEH) मेकानिजमको प्रयोग गर्दछ।

अनुसन्धानकर्ताहरूले प्रमाण फेला पारेका छन् कि धम्की अभिनेता ह्यान्डल 'tttseo' अन्तर्गत टेलिग्राम र QQ इन्स्ट्यान्ट मेसेजिङ एपमा सञ्चालन गर्दछ, जहाँ उनीहरूले ग्राहकहरूसँग अवैध व्यापार लेनदेन सञ्चालन गर्छन्। तिनीहरूले उच्च गुणस्तरको ग्राहक सेवा जस्तो देखिने कुराहरू पनि प्रदान गर्छन्, तिनीहरूका ग्राहकहरूको आवश्यकता अनुरूप प्रचारात्मक रणनीतिहरू सिर्जना गर्छन्।

ग्राहकहरूले कुञ्जी शब्दहरू र वेबसाइटहरू पेश गर्न सक्छन् जुन उनीहरूले प्रचार गर्न चाहन्छन्, र DragonRank ले यी विशिष्टताहरूमा आधारित रणनीति डिजाइन गर्दछ। समूहले विशेष देशहरू र भाषाहरूको लागि प्रवर्द्धनहरू लक्षित गर्नमा पनि ध्यान केन्द्रित गर्दछ, अनलाइन मार्केटिङको लागि अनुकूलित र पूर्ण दृष्टिकोण प्रदान गर्दै।