BadIIS Malware
Un actor de amenințare care comunică în limba chineză simplificată a fost asociat cu o nouă campanie care vizează țări din Asia și Europa. Scopul campaniei este de a manipula clasamentele motoarelor de căutare prin tactici SEO. Această campanie Black Hat SEO, numită DragonRank de către cercetătorii în domeniul securității cibernetice, a afectat regiuni precum Thailanda, India, Coreea de Sud, Belgia, Țările de Jos și China.
DragonRank compromite serviciile de aplicații web pentru a implementa shell-uri web, care sunt apoi utilizate pentru a colecta informații despre sistem și pentru a furniza malware precum PlugX și BadIIS. Aceste atacuri au dus la compromisul a 35 de servere Internet Information Services (IIS), urmărind în cele din urmă să instaleze programe malware BadIIS, identificate pentru prima dată în august 2021.
Cuprins
Atacatorii preiau serverele IIS compromise
Malware-ul este conceput special pentru a facilita proxy-ul și frauda SEO prin conversia serverului IIS compromis într-un punct de retransmisie pentru comunicațiile frauduloase între actorii amenințărilor și victimele acestora. În plus, poate modifica conținutul oferit motoarele de căutare pentru a manipula algoritmii și pentru a îmbunătăți clasamentul site-urilor web vizate de atacatori.
Una dintre cele mai izbitoare constatări ale investigației este versatilitatea malware-ului IIS, în special în utilizarea acestuia pentru fraudă SEO. Acest malware este exploatat pentru a manipula algoritmii motoarelor de căutare, sporind vizibilitatea și reputația site-urilor web ale terților.
Cele mai recente atacuri descoperite de cercetători acoperă o gamă largă de industrii, inclusiv bijuterii, mass-media, servicii de cercetare, asistență medicală, producție video și televiziune, producție, transporturi, organizații religioase și spirituale, servicii IT, afaceri internaționale, agricultură, sport și chiar feng. shui.
Lanț de atac atribuit DragonRank
Atacul începe prin exploatarea vulnerabilităților cunoscute în aplicațiile web, cum ar fi phpMyAdmin și WordPress, pentru a implementa shell-ul web ASPXspy open-source. Acest shell Web servește apoi ca o poartă pentru introducerea de instrumente suplimentare în mediul țintă.
Scopul principal al campaniei este de a compromite serverele IIS care găzduiesc site-uri web corporative. Atacatorii folosesc aceste servere pentru a instala malware BadIIS, reutilizandu-le ca platforme pentru activități frauduloase, care implică adesea cuvinte cheie legate de pornografie și sex.
O caracteristică notabilă a malware-ului este capacitatea sa de a uzurpa identitatea crawler-ului motorului de căutare Google în șirul său User-Agent atunci când se conectează la serverul Command-and-Control (C2). Această tactică îl ajută să evite unele măsuri de securitate a site-ului web.
Actorii amenințători se implică în manipularea SEO
Actorul amenințării manipulează SEO prin exploatarea sau modificarea algoritmilor motoarelor de căutare pentru a îmbunătăți clasarea unui site web în rezultatele căutării. Acest lucru se face pentru a conduce traficul către site-uri frauduloase, pentru a crește vizibilitatea conținutului fraudulos sau pentru a perturba concurenții prin umflarea sau dezumflarea artificială a clasamentelor.
DragonRank iese în evidență față de alte grupuri Black Hat SEO datorită abordării sale de a încălca servere suplimentare din rețeaua țintei. Menține controlul asupra acestor servere utilizând PlugX, o ușă din spate folosită în mod obișnuit de actorii amenințărilor chinezi și diverse instrumente de colectare a acreditărilor precum Mimikatz , PrintNotifyPotato, BadPotato și GodPotato.
Tehnici rău intenționate și prezență online
Programul malware PlugX utilizat în aceste atacuri folosește tehnici de încărcare laterală a DLL. DLL-ul de încărcare care inițiază încărcarea utilă criptată utilizează mecanismul Windows Structured Exception Handling (SEH) pentru a se asigura că fișierul legitim (adică, binarul predispus la încărcarea secundară a DLL) poate încărca PlugX fără a declanșa alerte de securitate.
Cercetătorii au găsit dovezi că actorul amenințării operează pe Telegram sub handle-ul „tttseo” și pe aplicația de mesagerie instant QQ, unde efectuează tranzacții comerciale ilegale cu clienții. Ei oferă, de asemenea, ceea ce pare a fi servicii pentru clienți de înaltă calitate, creând strategii promoționale adaptate nevoilor clienților lor.
Clienții pot trimite cuvinte cheie și site-uri web pe care doresc să le promoveze, iar DragonRank concepe o strategie bazată pe aceste specificații. Grupul se concentrează, de asemenea, pe direcționarea promoțiilor pentru anumite țări și limbi, oferind o abordare personalizată și aprofundată a marketingului online.
