Вредоносное ПО BadIIS
Злоумышленник, общающийся на упрощенном китайском, был связан с новой кампанией, нацеленной на страны Азии и Европы. Цель кампании — манипулировать рейтингами поисковых систем с помощью тактики SEO. Эта кампания Black Hat SEO, названная исследователями кибербезопасности DragonRank, затронула такие регионы, как Таиланд, Индия, Южная Корея, Бельгия, Нидерланды и Китай.
DragonRank компрометирует службы веб-приложений для развертывания веб-оболочек, которые затем используются для сбора системной информации и доставки вредоносного ПО, такого как PlugX и BadIIS. Эти атаки привели к компрометации 35 серверов Internet Information Services (IIS), в конечном итоге направленных на установку вредоносного ПО BadIIS, впервые обнаруженного в августе 2021 года.
Оглавление
Злоумышленники захватывают скомпрометированные серверы IIS
Вредоносное ПО специально разработано для облегчения мошенничества с использованием proxy-ware и SEO путем преобразования скомпрометированного сервера IIS в точку ретрансляции для мошеннических коммуникаций между субъектами угроз и их жертвами. Кроме того, оно может изменять контент, предоставляемый поисковым системам, для манипулирования алгоритмами и улучшения рейтингов веб-сайтов, на которые нацелены злоумышленники.
Одним из самых поразительных результатов расследования является универсальность вредоносного ПО IIS, особенно в его использовании для SEO-мошенничества. Это вредоносное ПО используется для манипулирования алгоритмами поисковых систем, повышая видимость и репутацию сторонних веб-сайтов.
Последние атаки, обнаруженные исследователями, охватывают широкий спектр отраслей, включая ювелирную промышленность, средства массовой информации, исследовательские услуги, здравоохранение, видео- и телепроизводство, производство, транспорт, религиозные и духовные организации, ИТ-услуги, международные отношения, сельское хозяйство, спорт и даже фэн-шуй.
Цепочка атак, приписываемая DragonRank
Атака начинается с эксплуатации известных уязвимостей в веб-приложениях, таких как phpMyAdmin и WordPress, для развертывания веб-оболочки ASPXspy с открытым исходным кодом. Затем эта веб-оболочка служит шлюзом для внедрения дополнительных инструментов в целевую среду.
Основная цель кампании — скомпрометировать серверы IIS, на которых размещены корпоративные веб-сайты. Злоумышленники используют эти серверы для установки вредоносного ПО BadIIS, используя их в качестве платформ для мошеннических действий, часто включающих ключевые слова, связанные с порнографией и сексом.
Примечательной особенностью вредоносной программы является ее способность выдавать себя за поисковый робот Google в строке User-Agent при подключении к серверу Command-and-Control (C2). Эта тактика помогает ей обходить некоторые меры безопасности веб-сайта.
Злоумышленники занимаются SEO-манипуляцией
Злоумышленник манипулирует SEO, эксплуатируя или изменяя алгоритмы поисковой системы, чтобы повысить рейтинг веб-сайта в результатах поиска. Это делается для того, чтобы направить трафик на мошеннические сайты, увеличить видимость мошеннического контента или нарушить работу конкурентов, искусственно завышая или занижая рейтинги.
DragonRank выделяется среди других групп Black Hat SEO своим подходом к взлому дополнительных серверов в сети цели. Он сохраняет контроль над этими серверами с помощью PlugX, бэкдора, который обычно используется китайскими злоумышленниками, и различных инструментов сбора учетных данных, таких как Mimikatz , PrintNotifyPotato, BadPotato и GodPotato.
Вредоносные методы и присутствие в сети
Вредоносное ПО PlugX, используемое в этих атаках, использует методы боковой загрузки DLL. Загрузчик DLL, который инициирует зашифрованную полезную нагрузку, использует механизм структурированной обработки исключений Windows (SEH), чтобы гарантировать, что легитимный файл (т. е. двоичный файл, подверженный боковой загрузке DLL) может загрузить PlugX без срабатывания каких-либо предупреждений безопасности.
Исследователи обнаружили доказательства того, что злоумышленник действует в Telegram под псевдонимом 'tttseo' и в приложении для обмена мгновенными сообщениями QQ, где он проводит незаконные деловые операции с клиентами. Они также предоставляют то, что выглядит как высококачественное обслуживание клиентов, создавая рекламные стратегии, адаптированные к потребностям своих клиентов.
Клиенты могут отправлять ключевые слова и веб-сайты, которые они хотят продвигать, и DragonRank разрабатывает стратегию на основе этих спецификаций. Группа также фокусируется на таргетировании рекламных акций для определенных стран и языков, предлагая индивидуальный и тщательный подход к онлайн-маркетингу.
