BadIIS-malware
Een dreigingsactor die communiceert in vereenvoudigd Chinees is gelinkt aan een nieuwe campagne gericht op landen in Azië en Europa. Het doel van de campagne is om zoekmachine rankings te manipuleren door middel van SEO-tactieken. Deze Black Hat SEO-campagne, door cybersecurity-onderzoekers DragonRank genoemd, heeft invloed gehad op regio's zoals Thailand, India, Zuid-Korea, België, Nederland en China.
DragonRank compromitteert webapplicatieservices om webshells te implementeren, die vervolgens worden gebruikt om systeeminformatie te verzamelen en malware zoals PlugX en BadIIS te leveren. Deze aanvallen hebben geleid tot de compromittering van 35 Internet Information Services (IIS)-servers, met als uiteindelijk doel om BadIIS-malware te installeren, die voor het eerst werd geïdentificeerd in augustus 2021.
Inhoudsopgave
Aanvallers nemen gecompromitteerde IIS-servers over
De malware is specifiek ontworpen om proxyware en SEO-fraude te vergemakkelijken door de gecompromitteerde IIS-server om te zetten in een relaispunt voor frauduleuze communicatie tussen dreigingsactoren en hun slachtoffers. Daarnaast kan het de content die aan zoekmachines wordt aangeboden, wijzigen om algoritmen te manipuleren en de rangschikking van websites die door de aanvallers worden aangevallen, te verbeteren.
Een van de meest opvallende bevindingen van het onderzoek is de veelzijdigheid van IIS-malware, met name in het gebruik ervan voor SEO-fraude. Deze malware wordt gebruikt om zoekmachine-algoritmen te manipuleren, waardoor de zichtbaarheid en reputatie van websites van derden wordt verbeterd.
De meest recente aanvallen die door onderzoekers zijn ontdekt, bestrijken een breed scala aan sectoren, waaronder de juwelenindustrie, media, onderzoeksdiensten, gezondheidszorg, video- en televisieproductie, productie, transport, religieuze en spirituele organisaties, IT-diensten, internationale zaken, landbouw, sport en zelfs feng shui.
Aanvalsketen toegeschreven aan DragonRank
De aanval begint met het exploiteren van bekende kwetsbaarheden in webapplicaties zoals phpMyAdmin en WordPress om de open-source ASPXspy web shell te implementeren. Deze web shell dient vervolgens als gateway voor het introduceren van extra tools in de doelomgeving.
Het hoofddoel van de campagne is om IIS-servers die bedrijfswebsites hosten, te compromitteren. De aanvallers gebruiken deze servers om BadIIS-malware te installeren en ze te hergebruiken als platformen voor frauduleuze activiteiten, vaak met trefwoorden gerelateerd aan pornografie en seks.
Een opvallend kenmerk van de malware is het vermogen om de zoekmachinecrawler van Google te imiteren in de User-Agent-string bij het verbinden met de Command-and-Control (C2)-server. Deze tactiek helpt om sommige websitebeveiligingsmaatregelen te omzeilen.
Bedreigingsactoren houden zich bezig met SEO-manipulatie
De dreigingsactor manipuleert SEO door zoekmachine-algoritmen te exploiteren of te wijzigen om de ranking van een website in zoekresultaten te verbeteren. Dit wordt gedaan om verkeer naar frauduleuze sites te leiden, de zichtbaarheid van frauduleuze content te vergroten of concurrenten te verstoren door rankings kunstmatig op te blazen of te verlagen.
DragonRank onderscheidt zich van andere Black Hat SEO-groepen door zijn aanpak om extra servers binnen het netwerk van het doelwit te schenden. Het behoudt de controle over deze servers met behulp van PlugX, een backdoor die veel wordt gebruikt door Chinese dreigingsactoren, en verschillende tools voor het verzamelen van inloggegevens zoals Mimikatz , PrintNotifyPotato, BadPotato en GodPotato.
Kwaadaardige technieken en online aanwezigheid
De PlugX-malware die in deze aanvallen wordt gebruikt, maakt gebruik van DLL-sideloadingtechnieken. De loader-DLL die de gecodeerde payload initieert, maakt gebruik van het Windows Structured Exception Handling (SEH)-mechanisme om ervoor te zorgen dat het legitieme bestand (d.w.z. het binaire bestand dat vatbaar is voor DLL-sideloading) PlugX kan laden zonder beveiligingswaarschuwingen te activeren.
Onderzoekers hebben bewijs gevonden dat de dreigingsactor opereert op Telegram onder de naam 'tttseo' en op de QQ instant messaging-app, waar ze illegale zakelijke transacties uitvoeren met klanten. Ze bieden ook wat lijkt op hoogwaardige klantenservice, door promotionele strategieën te creëren die zijn afgestemd op de behoeften van hun klanten.
Klanten kunnen trefwoorden en websites indienen die ze willen promoten, en DragonRank ontwerpt een strategie op basis van deze specificaties. De groep richt zich ook op het targeten van promoties voor specifieke landen en talen, en biedt een aangepaste en grondige aanpak van online marketing.
