BadIIS ਮਾਲਵੇਅਰ
ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਇੱਕ ਸੂਝਵਾਨ SEO ਜ਼ਹਿਰ ਮੁਹਿੰਮ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ, ਜਿਸਦਾ ਮੰਨਣਾ ਹੈ ਕਿ ਇਹ ਇੱਕ ਚੀਨੀ-ਭਾਸ਼ੀ ਧਮਕੀ ਅਭਿਨੇਤਾ ਦੁਆਰਾ ਕੀਤਾ ਗਿਆ ਹੈ। ਹਮਲੇ ਮੁੱਖ ਤੌਰ 'ਤੇ ਪੂਰਬੀ ਅਤੇ ਦੱਖਣ-ਪੂਰਬੀ ਏਸ਼ੀਆ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੇ ਹਨ, ਖਾਸ ਤੌਰ 'ਤੇ ਵੀਅਤਨਾਮ 'ਤੇ ਕੇਂਦ੍ਰਿਤ। ਇਹ ਮੁਹਿੰਮ BadIIS ਨਾਮਕ ਮਾਲਵੇਅਰ ਨਾਲ ਜੁੜੀ ਹੋਈ ਹੈ ਅਤੇ CL-UNK-1037 ਨਾਮ ਹੇਠ ਟਰੈਕ ਕੀਤੀ ਜਾਂਦੀ ਹੈ। ਖਾਸ ਤੌਰ 'ਤੇ, ਧਮਕੀ ਅਭਿਨੇਤਾ ਗਰੁੱਪ 9 ਅਤੇ ਡਰੈਗਨ ਰੈਂਕ ਵਜੋਂ ਪਛਾਣੀਆਂ ਗਈਆਂ ਸੰਸਥਾਵਾਂ ਨਾਲ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਅਤੇ ਆਰਕੀਟੈਕਚਰਲ ਓਵਰਲੈਪ ਦਿਖਾਉਂਦਾ ਹੈ।
ਵਿਸ਼ਾ - ਸੂਚੀ
SEO ਜ਼ਹਿਰ ਕਿਵੇਂ ਕੰਮ ਕਰਦਾ ਹੈ
SEO ਜ਼ਹਿਰ ਵਿੱਚ ਖੋਜ ਇੰਜਣ ਦੇ ਨਤੀਜਿਆਂ ਨਾਲ ਛੇੜਛਾੜ ਕਰਨਾ ਸ਼ਾਮਲ ਹੈ ਤਾਂ ਜੋ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਵਿੱਤੀ ਲਾਭ ਲਈ ਅਚਾਨਕ ਜਾਂ ਖਤਰਨਾਕ ਵੈੱਬਸਾਈਟਾਂ, ਜਿਵੇਂ ਕਿ ਜੂਆ ਜਾਂ ਬਾਲਗ ਸਮੱਗਰੀ ਪੋਰਟਲ, 'ਤੇ ਜਾਣ ਲਈ ਮਜਬੂਰ ਕੀਤਾ ਜਾ ਸਕੇ। ਇਸ ਮੁਹਿੰਮ ਵਿੱਚ, ਹਮਲਾਵਰ ਇੱਕ ਮੂਲ IIS ਮਾਡਿਊਲ, BadIIS, ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੇ ਹਨ, ਤਾਂ ਜੋ ਜਾਇਜ਼ ਪਰ ਸਮਝੌਤਾ ਕੀਤੇ ਸਰਵਰਾਂ ਤੋਂ ਖਤਰਨਾਕ ਸਮੱਗਰੀ ਦੀ ਸੇਵਾ ਕੀਤੀ ਜਾ ਸਕੇ।
BadIIS ਫੰਕਸ਼ਨਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:
- ਆਉਣ ਵਾਲੇ HTTP ਟ੍ਰੈਫਿਕ ਨੂੰ ਰੋਕਣਾ ਅਤੇ ਸੋਧਣਾ।
- ਸਰਚ ਇੰਜਣ ਰੈਂਕਿੰਗ ਵਿੱਚ ਹੇਰਾਫੇਰੀ ਕਰਨ ਲਈ ਨਾਮਵਰ ਵੈੱਬਸਾਈਟਾਂ ਵਿੱਚ ਕੀਵਰਡਸ ਅਤੇ ਵਾਕਾਂਸ਼ਾਂ ਨੂੰ ਇੰਜੈਕਟ ਕਰਨਾ।
- ਯੂਜ਼ਰ-ਏਜੰਟ ਹੈਡਰ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਸਰਚ ਇੰਜਣ ਕ੍ਰੌਲਰਾਂ ਤੋਂ ਵਿਜ਼ਟਰਾਂ ਨੂੰ ਫਲੈਗ ਕਰਨਾ ਅਤੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਤੋਂ ਜ਼ਹਿਰੀਲੀ ਸਮੱਗਰੀ ਪ੍ਰਾਪਤ ਕਰਨਾ।
ਇਹ ਪਹੁੰਚ ਸਮਝੌਤਾ ਕੀਤੀਆਂ ਵੈੱਬਸਾਈਟਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਏ ਖੋਜ ਸ਼ਬਦਾਂ ਲਈ ਉੱਚ ਦਰਜਾ ਦੇਣ ਦੀ ਆਗਿਆ ਦਿੰਦੀ ਹੈ, ਅੰਤ ਵਿੱਚ ਬੇਲੋੜੇ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਘੁਟਾਲੇ ਵਾਲੀਆਂ ਸਾਈਟਾਂ ਵੱਲ ਰੀਡਾਇਰੈਕਟ ਕਰਦੀ ਹੈ।
ਹਮਲੇ ਦਾ ਜੀਵਨ ਚੱਕਰ
SEO ਜ਼ਹਿਰ ਦਾ ਹਮਲਾ ਇੱਕ ਬਹੁ-ਪੜਾਵੀ ਪ੍ਰਕਿਰਿਆ ਦੀ ਪਾਲਣਾ ਕਰਦਾ ਹੈ:
ਲਾਲਚ ਬਣਾਉਣਾ : ਹਮਲਾਵਰ ਸਰਚ ਇੰਜਣ ਕ੍ਰੌਲਰਾਂ ਨੂੰ ਹੇਰਾਫੇਰੀ ਕੀਤੀ ਸਮੱਗਰੀ ਭੇਜਦੇ ਹਨ, ਜਿਸ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤੀ ਗਈ ਵੈੱਬਸਾਈਟ ਗੈਰ-ਸੰਬੰਧਿਤ ਖੋਜ ਸ਼ਬਦਾਂ ਲਈ ਢੁਕਵੀਂ ਦਿਖਾਈ ਦਿੰਦੀ ਹੈ।
ਜਾਲ ਫੈਲਾਉਣਾ : ਉਨ੍ਹਾਂ ਸ਼ਬਦਾਂ ਦੀ ਖੋਜ ਕਰਨ ਵਾਲੇ ਪੀੜਤਾਂ ਨੂੰ ਜਾਇਜ਼ ਦਿਖਾਈ ਦੇਣ ਵਾਲੀਆਂ ਪਰ ਸਮਝੌਤਾ ਕੀਤੀਆਂ ਸਾਈਟਾਂ ਮਿਲਦੀਆਂ ਹਨ, ਜੋ ਉਨ੍ਹਾਂ ਨੂੰ ਖਤਰਨਾਕ ਥਾਵਾਂ 'ਤੇ ਭੇਜਦੀਆਂ ਹਨ।
ਘੱਟੋ-ਘੱਟ ਇੱਕ ਜਾਣੀ-ਪਛਾਣੀ ਘਟਨਾ ਵਿੱਚ, ਹਮਲਾਵਰਾਂ ਨੇ ਨਵੇਂ ਸਥਾਨਕ ਖਾਤੇ ਬਣਾ ਕੇ, ਵੈੱਬ ਸ਼ੈੱਲ ਤੈਨਾਤ ਕਰਕੇ, ਸਰੋਤ ਕੋਡ ਨੂੰ ਬਾਹਰ ਕੱਢ ਕੇ, ਅਤੇ ਨਿਰੰਤਰ ਰਿਮੋਟ ਪਹੁੰਚ ਲਈ ਵਾਧੂ BadIIS ਇਮਪਲਾਂਟ ਸਥਾਪਤ ਕਰਕੇ ਹਮਲਿਆਂ ਨੂੰ ਵਧਾਉਣ ਲਈ ਸਰਚ ਇੰਜਣ ਕ੍ਰਾਲਰ ਪਹੁੰਚ ਦਾ ਲਾਭ ਉਠਾਇਆ।
ਵਰਤੇ ਗਏ ਔਜ਼ਾਰ ਅਤੇ ਰੂਪ
ਧਮਕੀ ਦੇਣ ਵਾਲਾ ਅਦਾਕਾਰ SEO ਹੇਰਾਫੇਰੀ ਅਤੇ ਟ੍ਰੈਫਿਕ ਨਿਯੰਤਰਣ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਕਈ ਸਾਧਨਾਂ ਅਤੇ ਰੂਪਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ:
- ਖਤਰਨਾਕ ਸਮੱਗਰੀ ਦੀ ਪ੍ਰੌਕਸੀ ਕਰਨ ਲਈ ਹਲਕਾ ASP.NET ਪੇਜ ਹੈਂਡਲਰ।
ਸਾਰੇ ਇਮਪਲਾਂਟ ਖੋਜ ਇੰਜਣ ਨਤੀਜਿਆਂ ਅਤੇ ਟ੍ਰੈਫਿਕ ਪ੍ਰਵਾਹ ਨੂੰ ਨਿਯੰਤਰਿਤ ਕਰਨ ਲਈ ਅਨੁਕੂਲਿਤ ਕੀਤੇ ਗਏ ਹਨ, ਜੋ ਕਿ ਇੱਕ ਬਹੁਤ ਹੀ ਤਾਲਮੇਲ ਵਾਲੇ ਕਾਰਜ ਦਾ ਪ੍ਰਦਰਸ਼ਨ ਕਰਦੇ ਹਨ।
ਵਿਸ਼ੇਸ਼ਤਾ ਅਤੇ ਭਾਸ਼ਾਈ ਸਬੂਤ
ਖੋਜਕਰਤਾਵਾਂ ਨੂੰ ਪੂਰਾ ਵਿਸ਼ਵਾਸ ਹੈ ਕਿ ਇਹ ਗਤੀਵਿਧੀ ਇੱਕ ਚੀਨੀ-ਭਾਸ਼ੀ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਦੁਆਰਾ ਚਲਾਈ ਜਾ ਰਹੀ ਹੈ। ਇਸ ਸਿੱਟੇ ਦਾ ਸਮਰਥਨ ਇਸ ਦੁਆਰਾ ਕੀਤਾ ਜਾਂਦਾ ਹੈ:
- ਮਾਲਵੇਅਰ ਅਤੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਵਿੱਚ ਸਿੱਧੇ ਭਾਸ਼ਾਈ ਸਬੂਤ ਮਿਲੇ ਹਨ।
- ਐਕਟਰ ਨੂੰ ਗਰੁੱਪ 9 ਕਲੱਸਟਰ ਨਾਲ ਜੋੜਨ ਵਾਲੇ ਆਰਕੀਟੈਕਚਰਲ ਅਤੇ ਸੰਚਾਲਨ ਲਿੰਕ।
ਓਪਰੇਸ਼ਨ ਰੀਰਾਈਟ ਇਸ ਗੱਲ ਦੀ ਉਦਾਹਰਣ ਦਿੰਦਾ ਹੈ ਕਿ ਕਿਵੇਂ ਸੂਝਵਾਨ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਕਾਰਕੁਨ SEO ਜ਼ਹਿਰ, IIS ਕਮਜ਼ੋਰੀਆਂ, ਅਤੇ ਵੈੱਬ ਸਰਵਰ ਸਮਝੌਤੇ ਦਾ ਲਾਭ ਉਠਾ ਕੇ ਟ੍ਰੈਫਿਕ ਨੂੰ ਰੀਡਾਇਰੈਕਟ ਕਰ ਰਹੇ ਹਨ ਅਤੇ ਵਿੱਤੀ ਤੌਰ 'ਤੇ ਪ੍ਰੇਰਿਤ ਹਮਲੇ ਕਰ ਰਹੇ ਹਨ।
