Вредоносное ПО BadIIS

Исследователи кибербезопасности раскрыли сложную кампанию по отравлению поисковых систем (SEO), предположительно осуществляемую китайскоязычной группой. Атаки в основном нацелены на Восточную и Юго-Восточную Азию, с особым акцентом на Вьетнам. Эта кампания связана с вредоносным ПО BadIIS и отслеживается под именем CL-UNK-1037. Примечательно, что инфраструктура и архитектура злоумышленника пересекаются с организациями, идентифицированными как Group 9 и DragonRank.

Как работает SEO-отравление

SEO-отравление подразумевает манипулирование результатами поисковых систем, чтобы заставить пользователей посещать неожиданные или вредоносные сайты, например, порталы с азартными играми или контентом для взрослых, с целью получения финансовой выгоды. В этой кампании злоумышленники используют встроенный модуль IIS, BadIIS, для доставки вредоносного контента с легитимных, но скомпрометированных серверов.

Функции BadIIS включают в себя:

• Перехват и изменение входящего HTTP-трафика.
• Внедрение ключевых слов и фраз в авторитетные веб-сайты с целью манипулирования рейтингами поисковых систем.
• Отметка посетителей поисковыми роботами с помощью заголовка User-Agent и извлечение зараженного контента с сервера Command-and-Control (C2).

Такой подход позволяет взломанным веб-сайтам занимать высокие позиции в результатах поиска по целевым поисковым запросам, в конечном итоге перенаправляя ничего не подозревающих пользователей на мошеннические сайты.

Жизненный цикл атаки

Атака отравления SEO происходит в несколько этапов:

Создание приманки : злоумышленники скармливают поисковым роботам поддельный контент, в результате чего взломанный веб-сайт кажется релевантным для нерелевантных поисковых запросов.

Ловушка : жертвы, ищущие эти термины, попадают на внешне законные, но взломанные сайты, которые перенаправляют их на вредоносные сайты.

По крайней мере в одном известном инциденте злоумышленники использовали доступ поискового робота для эскалации атак путем создания новых локальных учетных записей, развертывания веб-оболочек, кражи исходного кода и установки дополнительных имплантов BadIIS для постоянного удаленного доступа.

Используемые инструменты и варианты

Злоумышленник использует множество инструментов и вариантов для SEO-манипулирования и контроля трафика:

• Легкий обработчик страниц ASP.NET для проксирования вредоносного контента.
• Управляемый модуль .NET IIS для проверки/изменения запросов и внедрения спам-ссылок/ключевых слов.

• Универсальный PHP-скрипт, сочетающий перенаправление пользователей и динамическое SEO-отравление.

Все имплантаты настроены на управление результатами поисковой системы и потоками трафика, демонстрируя высокоскоординированную работу.

Атрибуция и лингвистические доказательства

Исследователи уверены, что эта деятельность осуществляется китайскоязычным злоумышленником. Этот вывод подтверждается:

• Прямые лингвистические доказательства, обнаруженные во вредоносном программном обеспечении и инфраструктуре.
• Архитектурные и эксплуатационные связи, соединяющие субъекта с кластером Группы 9.

Операция «Переписывание» служит примером того, как изощренные злоумышленники используют отравление SEO, уязвимости IIS и взломы веб-серверов для перенаправления трафика и проведения финансово мотивированных атак.