Złe oprogramowanie IIS
Aktor zagrożeń komunikujący się w uproszczonym języku chińskim został powiązany z nową kampanią skierowaną do krajów w Azji i Europie. Celem kampanii jest manipulowanie rankingami wyszukiwarek za pomocą taktyk SEO. Ta kampania Black Hat SEO, nazwana przez badaczy cyberbezpieczeństwa DragonRank, wpłynęła na regiony, w tym Tajlandię, Indie, Koreę Południową, Belgię, Holandię i Chiny.
DragonRank narusza usługi aplikacji internetowych, aby wdrażać powłoki internetowe, które są następnie wykorzystywane do gromadzenia informacji systemowych i dostarczania złośliwego oprogramowania, takiego jak PlugX i BadIIS. Ataki te doprowadziły do naruszenia bezpieczeństwa 35 serwerów Internet Information Services (IIS), ostatecznie w celu zainstalowania złośliwego oprogramowania BadIIS, zidentyfikowanego po raz pierwszy w sierpniu 2021 r.
Spis treści
Atakujący przejmują kontrolę nad naruszonymi serwerami IIS
To złośliwe oprogramowanie jest specjalnie zaprojektowane, aby ułatwić oszustwa proxy ware i SEO poprzez konwersję naruszonego serwera IIS na punkt przekaźnikowy dla oszukańczej komunikacji między podmiotami stanowiącymi zagrożenie a ich ofiarami. Ponadto może ono zmieniać treści dostarczane wyszukiwarkom w celu manipulowania algorytmami i poprawiania rankingów witryn internetowych będących celem atakujących.
Jednym z najbardziej uderzających odkryć śledztwa jest wszechstronność złośliwego oprogramowania IIS, szczególnie w jego wykorzystaniu do oszustw SEO. To złośliwe oprogramowanie jest wykorzystywane do manipulowania algorytmami wyszukiwarek, zwiększając widoczność i reputację witryn stron trzecich.
Najnowsze ataki ujawnione przez badaczy obejmują szeroki wachlarz branż, w tym jubilerstwo, media, usługi badawcze, opiekę zdrowotną, produkcję filmów wideo i programów telewizyjnych, produkcję przemysłową, transport, organizacje religijne i duchowe, usługi informatyczne, sprawy międzynarodowe, rolnictwo, sport, a nawet feng shui.
Łańcuch ataku przypisany do DragonRank
Atak rozpoczyna się od wykorzystania znanych luk w aplikacjach internetowych, takich jak phpMyAdmin i WordPress, w celu wdrożenia powłoki internetowej ASPXspy o otwartym kodzie źródłowym. Ta powłoka internetowa służy następnie jako brama do wprowadzania dodatkowych narzędzi do środowiska docelowego.
Głównym celem kampanii jest włamanie się do serwerów IIS hostujących witryny korporacyjne. Atakujący wykorzystują te serwery do instalowania złośliwego oprogramowania BadIIS, wykorzystując je jako platformy do oszukańczych działań, często obejmujących słowa kluczowe związane z pornografią i seksem.
Godną uwagi cechą złośliwego oprogramowania jest jego zdolność do podszywania się pod crawler wyszukiwarki Google w ciągu User-Agent podczas łączenia się z serwerem Command-and-Control (C2). Ta taktyka pomaga mu ominąć niektóre środki bezpieczeństwa witryny.
Aktorzy zagrożeń angażują się w manipulację SEO
Aktor zagrożenia manipuluje SEO, wykorzystując lub zmieniając algorytmy wyszukiwarek, aby zwiększyć pozycję witryny w wynikach wyszukiwania. Robi się to w celu kierowania ruchu do fałszywych witryn, zwiększania widoczności fałszywych treści lub zakłócania konkurencji poprzez sztuczne zawyżanie lub obniżanie pozycji w wynikach wyszukiwania.
DragonRank wyróżnia się spośród innych grup Black Hat SEO ze względu na podejście polegające na naruszaniu dodatkowych serwerów w sieci celu. Utrzymuje kontrolę nad tymi serwerami za pomocą PlugX, tylnego wejścia powszechnie używanego przez chińskich aktorów zagrożeń, oraz różnych narzędzi do zbierania poświadczeń, takich jak Mimikatz , PrintNotifyPotato, BadPotato i GodPotato.
Złośliwe techniki i obecność w sieci
Oprogramowanie złośliwe PlugX używane w tych atakach wykorzystuje techniki bocznego ładowania DLL. Ładowarka DLL, która inicjuje zaszyfrowany ładunek, wykorzystuje mechanizm obsługi wyjątków strukturalnych systemu Windows (SEH), aby zapewnić, że legalny plik (tj. plik binarny podatny na boczne ładowanie DLL) może załadować PlugX bez wyzwalania żadnych alertów bezpieczeństwa.
Badacze znaleźli dowody na to, że aktor zagrożenia działa w Telegramie pod nazwą „tttseo” i w aplikacji do przesyłania wiadomości błyskawicznych QQ, gdzie przeprowadza nielegalne transakcje biznesowe z klientami. Zapewnia również, jak się wydaje, wysokiej jakości obsługę klienta, tworząc strategie promocyjne dostosowane do potrzeb swoich klientów.
Klienci mogą przesyłać słowa kluczowe i strony internetowe, które chcą promować, a DragonRank opracowuje strategię opartą na tych specyfikacjach. Grupa koncentruje się również na kierowaniu promocji do konkretnych krajów i języków, oferując dostosowane i kompleksowe podejście do marketingu online.
