Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware BadIIS-malware

BadIIS-malware

Tegen Mezo in Malware
Vertalen naar:

Cybersecurityonderzoekers hebben een geavanceerde SEO-vergiftigingscampagne ontdekt, waarvan wordt aangenomen dat deze wordt uitgevoerd door een Chineestalige cybercrimineel. De aanvallen zijn voornamelijk gericht op Oost- en Zuidoost-Azië, met een specifieke focus op Vietnam. Deze campagne wordt geassocieerd met malware genaamd BadIIS en wordt gevolgd onder de naam CL-UNK-1037. Opvallend is dat de cybercrimineel infrastructurele en architecturale overeenkomsten vertoont met entiteiten die zijn geïdentificeerd als Groep 9 en DragonRank.

Hoe SEO-vergiftiging werkt

SEO-vergiftiging houdt in dat zoekmachineresultaten worden gemanipuleerd om gebruikers te verleiden onverwachte of kwaadaardige websites te bezoeken, zoals goksites of websites met inhoud voor volwassenen, voor financieel gewin. In deze campagne misbruiken de aanvallers een native IIS-module, BadIIS, om kwaadaardige content te presenteren vanaf legitieme maar gecompromitteerde servers.

BadIIS-functies omvatten:

  • Het onderscheppen en wijzigen van binnenkomend HTTP-verkeer.
  • Het injecteren van trefwoorden en zinnen in gerenommeerde websites om de rangschikking van zoekmachines te manipuleren.
  • Bezoekers markeren bij crawlers van zoekmachines met behulp van de User-Agent-header en vergiftigde inhoud ophalen van een Command-and-Control (C2)-server.

Met deze aanpak kunnen gehackte websites een hoge positie krijgen bij specifieke zoektermen, waardoor nietsvermoedende gebruikers uiteindelijk worden doorgestuurd naar oplichtingssites.

De aanvalslevenscyclus

De SEO-vergiftigingsaanval verloopt via een meerstappenproces:

Het lokmiddel opbouwen : aanvallers sturen gemanipuleerde content naar de crawlers van zoekmachines, waardoor de gecompromitteerde website relevant lijkt voor niet-gerelateerde zoektermen.

De val laten opengaan : slachtoffers die naar die termen zoeken, komen terecht op legitiem ogende, maar gecompromitteerde sites, die hen vervolgens naar kwaadaardige bestemmingen doorsturen.

In ten minste één bekend incident misbruikten aanvallers de toegang van zoekmachine-crawlers om aanvallen te escaleren door nieuwe lokale accounts te maken, webshells te implementeren, broncode te exfiltreren en extra BadIIS-implantaten te installeren voor permanente toegang op afstand.

Gebruikte gereedschappen en varianten

De bedreigende actor gebruikt meerdere tools en varianten om SEO te manipuleren en het verkeer te beheren:

  • Lichtgewicht ASP.NET-paginahandler voor het proxyen van schadelijke inhoud.
  • Beheerde .NET IIS-module voor het inspecteren/wijzigen van verzoeken en het injecteren van spamkoppelingen/trefwoorden.
  • Alles-in-één PHP-script dat gebruikersomleiding en dynamische SEO-vergiftiging combineert.

    • Alle implantaten zijn zodanig aangepast dat ze de zoekresultaten van zoekmachines en de verkeersstroom sturen, wat wijst op een uiterst gecoördineerde operatie.

    Attributie en taalkundig bewijs

    Onderzoekers zijn er zeer zeker van dat deze activiteit wordt uitgevoerd door een Chineestalige dreigingsactor. Deze conclusie wordt ondersteund door:

    • Direct taalkundig bewijs gevonden in de malware en infrastructuur.
    • Architectonische en operationele verbindingen die de actor verbinden met het Groep 9-cluster.

    Operation Rewrite is een voorbeeld van hoe geavanceerde cybercriminelen gebruikmaken van SEO-vergiftigingen, IIS-kwetsbaarheden en inbreuken op webservers om verkeer om te leiden en financieel gemotiveerde aanvallen uit te voeren.

    Trending

    Meest bekeken

    Bezig met laden...