Škodlivý softvér BadIIS
Výskumníci v oblasti kybernetickej bezpečnosti odhalili sofistikovanú kampaň zameranú na otravu SEO, o ktorej sa predpokladá, že ju vykonáva čínsky hovoriaci aktér hrozby. Útoky sú primárne zamerané na východnú a juhovýchodnú Áziu, s osobitným zameraním na Vietnam. Táto kampaň je spojená so škodlivým softvérom s názvom BadIIS a je sledovaná pod názvom CL-UNK-1037. Je pozoruhodné, že aktér hrozby vykazuje prekrývanie infraštruktúry a architektúry so subjektmi identifikovanými ako Group 9 a DragonRank.
Obsah
Ako funguje SEO otrava
SEO poisoning zahŕňa manipuláciu s výsledkami vyhľadávania s cieľom oklamať používateľov a prinútiť ich navštíviť neočakávané alebo škodlivé webové stránky, ako sú hazardné hry alebo portály s obsahom pre dospelých, za účelom finančného zisku. V tejto kampani útočníci zneužívajú natívny modul IIS s názvom BadIIS na zobrazovanie škodlivého obsahu z legitímnych, ale napadnutých serverov.
Funkcie BadIIS zahŕňajú:
- Zachytávanie a úprava prichádzajúcej HTTP prevádzky.
- Vkladanie kľúčových slov a fráz na renomované webové stránky s cieľom manipulovať s pozíciami vo vyhľadávačoch.
- Označovanie návštevníkov pred prehľadávačmi vyhľadávačov pomocou hlavičky User-Agent a načítavanie infikovaného obsahu zo servera Command-and-Control (C2).
Tento prístup umožňuje napadnutým webovým stránkam umiestniť sa vysoko v cielených vyhľadávacích výrazoch, čo v konečnom dôsledku presmeruje nič netušiacich používateľov na podvodné stránky.
Životný cyklus útoku
Útok typu SEO poisoning sa skladá z viacerých krokov:
Vytváranie návnady : Útočníci poskytujú prehľadávačom vyhľadávačov manipulovaný obsah, čím sa napadnutá webová stránka javí ako relevantná pre nesúvisiace vyhľadávacie výrazy.
Odhalenie pasce : Obete vyhľadávajúce tieto výrazy narazia na legitímne vyzerajúce, ale napadnuté stránky, ktoré ich presmerujú na škodlivé destinácie.
V najmenej jednom známom incidente útočníci využili prístup prehľadávačov vyhľadávačov na eskaláciu útokov vytváraním nových lokálnych účtov, nasadzovaním webových shellov, odcudzovaním zdrojového kódu a inštaláciou ďalších implantátov BadIIS pre trvalý vzdialený prístup.
Použité nástroje a varianty
Útočník využíva viacero nástrojov a variantov na dosiahnutie manipulácie s SEO a kontroly návštevnosti:
- Ľahký obslužný program stránok ASP.NET na proxyovanie škodlivého obsahu.
- Spravovaný modul .NET IIS na kontrolu/úpravu požiadaviek a vkladanie spamových odkazov/kľúčových slov.
- Univerzálny PHP skript kombinujúci presmerovanie používateľov a dynamické SEO poisoning.
Všetky implantáty sú prispôsobené tak, aby kontrolovali výsledky vyhľadávania a tok návštevnosti, čo demonštruje vysoko koordinovanú operáciu.
Pripisovanie a jazykové dôkazy
Výskumníci majú vysokú mieru istoty, že túto aktivitu vykonáva čínsky hovoriaci aktér hrozby. Tento záver podporujú:
- Priame jazykové dôkazy nájdené v škodlivom softvéri a infraštruktúre.
- Architektonické a prevádzkové prepojenia spájajúce aktéra s klastrom Group 9.
Operácia Rewrite je príkladom toho, ako sofistikovaní útočníci využívajú SEO otravu, zraniteľnosti IIS a kompromitáciu webových serverov na presmerovanie prevádzky a vykonávanie finančne motivovaných útokov.
