BadIIS malvér
Aktér hrozby, ktorý komunikuje v zjednodušenej čínštine, bol spojený s novou kampaňou zameranou na krajiny v Ázii a Európe. Cieľom kampane je manipulovať pozície vo vyhľadávačoch prostredníctvom SEO taktiky. Táto kampaň Black Hat SEO, ktorú výskumníci v oblasti kybernetickej bezpečnosti nazvali DragonRank, ovplyvnila regióny vrátane Thajska, Indie, Južnej Kórey, Belgicka, Holandska a Číny.
DragonRank ohrozuje webové aplikačné služby na nasadenie webových shellov, ktoré sa potom používajú na zhromažďovanie systémových informácií a poskytovanie škodlivého softvéru, ako sú PlugX a BadIIS. Tieto útoky viedli ku kompromitácii 35 serverov Internet Information Services (IIS), ktorých cieľom bolo v konečnom dôsledku nainštalovať malvér BadIIS, prvýkrát identifikovaný v auguste 2021.
Obsah
Útočníci preberajú ohrozené servery IIS
Malvér je špeciálne navrhnutý na uľahčenie podvodov s proxy softvérom a SEO prevedením napadnutého servera IIS na prenosový bod pre podvodnú komunikáciu medzi aktérmi hrozby a ich obeťami. Okrem toho môže zmeniť obsah poskytovaný vyhľadávacím nástrojom s cieľom manipulovať s algoritmami a zlepšiť hodnotenie webových stránok, na ktoré sa útočníci zamerali.
Jedným z najpozoruhodnejších zistení vyšetrovania je všestrannosť škodlivého softvéru IIS, najmä pri jeho použití na podvody v oblasti SEO. Tento malvér sa využíva na manipuláciu s algoritmami vyhľadávacích nástrojov, čím sa zvyšuje viditeľnosť a reputácia webových stránok tretích strán.
Najnovšie útoky, ktoré výskumníci odhalili, pokrývajú širokú škálu odvetví vrátane šperkov, médií, výskumných služieb, zdravotníctva, výroby videa a televízie, výroby, dopravy, náboženských a duchovných organizácií, IT služieb, medzinárodných záležitostí, poľnohospodárstva, športu a dokonca aj feng. shui.
Attack Chain pridelený DragonRanku
Útok začína zneužitím známych zraniteľností vo webových aplikáciách, ako sú phpMyAdmin a WordPress, na nasadenie open-source webového shellu ASPXspy. Tento webový shell potom slúži ako brána na zavádzanie ďalších nástrojov do cieľového prostredia.
Hlavným cieľom kampane je kompromitovať servery IIS, ktoré hosťujú podnikové weby. Útočníci používajú tieto servery na inštaláciu škodlivého softvéru BadIIS, čím ich opätovne využívajú ako platformy pre podvodné aktivity, ktoré často zahŕňajú kľúčové slová súvisiace s pornografiou a sexom.
Pozoruhodnou vlastnosťou malvéru je jeho schopnosť vydávať sa za prehľadávač vyhľadávacieho nástroja Google v reťazci User-Agent pri pripájaní k serveru Command-and-Control (C2). Táto taktika mu pomáha vyhnúť sa niektorým bezpečnostným opatreniam webových stránok.
Aktéri hrozieb sa zapájajú do SEO manipulácie
Hrozba manipuluje SEO tým, že využíva alebo mení algoritmy vyhľadávacích nástrojov na zvýšenie hodnotenia webovej stránky vo výsledkoch vyhľadávania. Deje sa tak s cieľom zvýšiť návštevnosť podvodných stránok, zvýšiť viditeľnosť podvodného obsahu alebo narušiť konkurenciu umelým nafukovaním alebo deflovaním hodnotení.
DragonRank sa odlišuje od ostatných skupín Black Hat SEO vďaka svojmu prístupu k narušeniu ďalších serverov v cieľovej sieti. Udržuje kontrolu nad týmito servermi pomocou PlugX, čo je zadné vrátka, ktoré bežne používajú čínski aktéri hrozieb, a rôzne nástroje na získavanie poverení, ako sú Mimikatz , PrintNotifyPotato, BadPotato a GodPotato.
Škodlivé techniky a prítomnosť online
Malvér PlugX používaný pri týchto útokoch využíva techniky bočného načítania DLL. DLL zavádzača, ktorá iniciuje zašifrované užitočné zaťaženie, využíva mechanizmus Windows Structured Exception Handling (SEH), aby sa zabezpečilo, že legitímny súbor (tj binárny súbor náchylný na bočné načítanie DLL) môže načítať PlugX bez spustenia akýchkoľvek bezpečnostných upozornení.
Výskumníci našli dôkazy, že aktér hrozby pôsobí na telegrame pod rúčkou „tttseo“ a na aplikácii okamžitých správ QQ, kde vykonáva nelegálne obchodné transakcie s klientmi. Poskytujú tiež to, čo sa javí ako vysokokvalitné služby zákazníkom, pričom vytvárajú propagačné stratégie prispôsobené potrebám svojich klientov.
Klienti môžu odoslať kľúčové slová a webové stránky, ktoré chcú propagovať, a DragonRank navrhne stratégiu založenú na týchto špecifikáciách. Skupina sa zameriava aj na zacielenie propagácií na konkrétne krajiny a jazyky, pričom ponúka prispôsobený a dôkladný prístup k online marketingu.
