Malware BadIIS
Cercetătorii în domeniul securității cibernetice au descoperit o campanie sofisticată de otrăvire SEO, despre care se crede că a fost dusă de un actor de amenințare vorbitor de chineză. Atacurile vizează în principal Asia de Est și de Sud-Est, cu accent deosebit pe Vietnam. Această campanie este asociată cu un malware numit BadIIS și este urmărită sub numele CL-UNK-1037. În special, actorul de amenințare prezintă suprapuneri de infrastructură și arhitectură cu entități identificate ca Group 9 și DragonRank.
Cuprins
Cum funcționează otrăvirea SEO
Intoxicația SEO implică manipularea rezultatelor motoarelor de căutare pentru a păcăli utilizatorii să viziteze site-uri web neașteptate sau rău intenționate, cum ar fi jocuri de noroc sau portaluri de conținut pentru adulți, pentru câștiguri financiare. În această campanie, atacatorii exploatează un modul IIS nativ, BadIIS, pentru a difuza conținut rău intenționat de pe servere legitime, dar compromise.
Funcțiile BadIIS includ:
- Interceptarea și modificarea traficului HTTP de intrare.
- Injectarea de cuvinte cheie și expresii în site-uri web de renume pentru a manipula clasamentele în motoarele de căutare.
- Semnalarea vizitatorilor de către crawlerele motoarelor de căutare folosind antetul User-Agent și preluarea de conținut otrăvit de pe un server Command-and-Control (C2).
Această abordare permite site-urilor web compromise să se claseze pe primele poziții pentru termenii de căutare vizați, redirecționând în cele din urmă utilizatorii neavizați către site-uri frauduloase.
Ciclul de viață al atacului
Atacul de otrăvire SEO urmează un proces în mai mulți pași:
Construirea momei : Atacatorii transmit conținut manipulat crawlerelor motoarelor de căutare, făcând ca site-ul web compromis să pară relevant pentru termeni de căutare fără legătură.
Deschiderea capcanei : Victimele care caută acești termeni dau peste site-uri aparent legitime, dar compromise, care le redirecționează către destinații rău intenționate.
În cel puțin un incident cunoscut, atacatorii au folosit accesul crawlerelor motoarelor de căutare pentru a escalada atacurile prin crearea de noi conturi locale, implementarea de shell-uri web, exfiltrarea codului sursă și instalarea de implanturi BadIIS suplimentare pentru acces persistent la distanță.
Instrumente și variante utilizate
Actorul amenințător folosește mai multe instrumente și variante pentru a realiza manipularea SEO și controlul traficului:
- Gestionar de pagini ASP.NET ușor pentru proxy-ul de conținut rău intenționat.
- Modul .NET IIS gestionat pentru inspectarea/modificarea cererilor și injectarea de linkuri/cuvinte cheie spam.
- Script PHP all-in-one care combină redirecționarea utilizatorilor și otrăvirea SEO dinamică.
Toate implanturile sunt personalizate pentru a controla rezultatele motoarelor de căutare și fluxul de trafic, demonstrând o operațiune extrem de coordonată.
Atribuire și dovezi lingvistice
Cercetătorii au o mare încredere că această activitate este operată de un actor amenințător vorbitor de chineză. Această concluzie este susținută de:
- Dovezi lingvistice directe găsite în malware și infrastructură.
- Legături arhitecturale și operaționale care conectează actorul la clusterul Grupului 9.
Operațiunea Rescriere exemplifică modul în care actorii sofisticați de amenințare utilizează otrăvirea SEO, vulnerabilitățile IIS și compromiterea serverelor web pentru a redirecționa traficul și a efectua atacuri motivate financiar.
