Złośliwe oprogramowanie BadIIS

Badacze cyberbezpieczeństwa odkryli wyrafinowaną kampanię zatruwania SEO, prawdopodobnie prowadzoną przez chińskojęzycznego cyberprzestępcę. Ataki są wymierzone głównie w Azję Wschodnią i Południowo-Wschodnią, ze szczególnym uwzględnieniem Wietnamu. Kampania ta jest powiązana ze złośliwym oprogramowaniem o nazwie BadIIS i jest śledzona pod nazwą CL-UNK-1037. Co istotne, cyberprzestępca wykazuje podobieństwa w infrastrukturze i architekturze do podmiotów zidentyfikowanych jako Grupa 9 i DragonRank.

Jak działa zatrucie SEO

Zatrucie SEO polega na manipulowaniu wynikami wyszukiwania w celu nakłonienia użytkowników do odwiedzenia nieoczekiwanych lub złośliwych witryn, takich jak portale hazardowe lub z treściami dla dorosłych, w celu osiągnięcia korzyści finansowych. W tej kampanii atakujący wykorzystują natywny moduł IIS, BadIIS, do wyświetlania złośliwych treści z legalnych, ale zainfekowanych serwerów.

Funkcje BadIIS obejmują:

• Przechwytywanie i modyfikowanie przychodzącego ruchu HTTP.
• Wstrzykiwanie słów kluczowych i fraz do renomowanych witryn internetowych w celu manipulowania pozycją w wynikach wyszukiwania.
• Oznaczanie odwiedzających przez roboty wyszukiwarek za pomocą nagłówka User-Agent i pobieranie zatrutej zawartości z serwera Command-and-Control (C2).

Podejście to pozwala zainfekowanym stronom internetowym uzyskać wysokie pozycje w wynikach wyszukiwania dla określonych haseł, co ostatecznie przekierowuje niczego niepodejrzewających użytkowników na witryny oszustów.

Cykl życia ataku

Atak zatruwania SEO przebiega w kilku etapach:

Tworzenie przynęty : atakujący wprowadzają zmanipulowaną treść do robotów wyszukiwarek, sprawiając, że zainfekowana strona internetowa wydaje się istotna dla niezwiązanych z nią terminów wyszukiwania.

Wpadnięcie w pułapkę : osoby wyszukujące te hasła trafiają na witryny, które wyglądają na legalne, ale są zainfekowane, a następnie kierują je do złośliwych witryn.

W co najmniej jednym znanym incydencie atakujący wykorzystali dostęp robota wyszukiwarki do eskalacji ataków poprzez tworzenie nowych kont lokalnych, wdrażanie powłok internetowych, eksfiltrację kodu źródłowego i instalację dodatkowych implantów BadIIS w celu uzyskania trwałego zdalnego dostępu.

Narzędzia i warianty używane

Aktor zagrożenia wykorzystuje wiele narzędzi i wariantów, aby manipulować SEO i kontrolować ruch:

• Lekki program do obsługi stron ASP.NET służący do przekazywania złośliwej zawartości.
• Zarządzany moduł .NET IIS umożliwiający inspekcję/modyfikację żądań i wstrzykiwanie spamowych łączy/słów kluczowych.

• Kompleksowy skrypt PHP łączący przekierowywanie użytkowników i dynamiczne zatruwanie SEO.

Wszystkie implanty są dostosowane do kontrolowania wyników wyszukiwania i przepływu ruchu, co świadczy o wysoce skoordynowanym działaniu.

Atrybucja i dowody językowe

Badacze są przekonani, że za tą działalnością stoi chińskojęzyczny aktor. Wniosek ten potwierdzają:

• Bezpośrednie dowody językowe odnalezione w złośliwym oprogramowaniu i infrastrukturze.
• Powiązania architektoniczne i operacyjne łączące aktora z klastrem Grupy 9.

Operacja Rewrite jest przykładem tego, w jaki sposób wyrafinowani aktorzy zagrożeń wykorzystują zatruwanie SEO, luki w zabezpieczeniach IIS i naruszenia bezpieczeństwa serwerów internetowych, aby przekierowywać ruch i przeprowadzać ataki motywowane finansowo.