Zlonamerna programska oprema BadIIS
Raziskovalci kibernetske varnosti so odkrili sofisticirano kampanjo zastrupljanja SEO, za katero menijo, da jo izvaja kitajsko govoreči akter. Napadi so usmerjeni predvsem v vzhodno in jugovzhodno Azijo, s posebnim poudarkom na Vietnamu. Ta kampanja je povezana z zlonamerno programsko opremo BadIIS in je sledena pod imenom CL-UNK-1037. Omeniti velja, da akter kaže infrastrukturna in arhitekturna prekrivanja z entitetami, identificiranimi kot Group 9 in DragonRank.
Kazalo
Kako deluje zastrupitev z SEO-jem
Zastrupljanje z iskalniki vključuje manipuliranje rezultatov iskalnikov, da bi uporabnike zavedli do obiska nepričakovanih ali zlonamernih spletnih mest, kot so igralniški portali ali portali z vsebinami za odrasle, za finančno korist. V tej kampanji napadalci izkoriščajo izvorni modul IIS, BadIIS, za prikazovanje zlonamerne vsebine z legitimnih, a ogroženih strežnikov.
Funkcije BadIIS vključujejo:
- Prestrezanje in spreminjanje dohodnega HTTP prometa.
- Vstavljanje ključnih besed in besednih zvez na ugledna spletna mesta za manipulacijo uvrstitev v iskalnikih.
- Označevanje obiskovalcev s strani iskalnikov z uporabo glave uporabniškega agenta in pridobivanje zastrupljene vsebine s strežnika Command-and-Control (C2).
Ta pristop omogoča, da se ogrožena spletna mesta uvrstijo visoko za ciljne iskalne izraze, kar na koncu preusmeri nič hudega sluteče uporabnike na prevarantska spletna mesta.
Življenjski cikel napada
Napad zastrupitve SEO sledi večstopenjskemu procesu:
Gradnja vabe : Napadalci posredujejo manipulirano vsebino iskalnikom, zaradi česar je ogroženo spletno mesto videti ustrezno za nepovezane iskalne izraze.
Ujemanje pasti : Žrtve, ki iščejo te izraze, naletijo na spletna mesta, ki so videti legitimna, a ogrožena, in jih preusmerijo na zlonamerne destinacije.
V vsaj enem znanem incidentu so napadalci izkoristili dostop pajkov iskalnikov za stopnjevanje napadov z ustvarjanjem novih lokalnih računov, nameščanjem spletnih lupin, izsiljevanjem izvorne kode in nameščanjem dodatnih vsadkov BadIIS za trajen oddaljeni dostop.
Uporabljena orodja in različice
Grožnik uporablja več orodij in različic za doseganje manipulacije SEO in nadzora prometa:
- Lahek ASP.NET upravljalnik strani za posredovanje zlonamerne vsebine.
- Upravljani modul .NET IIS za pregledovanje/spreminjanje zahtev in vstavljanje neželenih povezav/ključnih besed.
- Vsestranski PHP skript, ki združuje preusmeritev uporabnikov in dinamično zastrupljanje SEO.
Vsi vsadki so prilagojeni za nadzor rezultatov iskalnikov in pretoka prometa, kar dokazuje visoko usklajeno delovanje.
Pripisovanje in jezikovni dokazi
Raziskovalci so zelo prepričani, da to dejavnost izvaja kitajsko govoreči akter grožnje. Ta sklep podpirajo:
- Neposredni jezikovni dokazi, najdeni v zlonamerni programski opremi in infrastrukturi.
- Arhitekturne in operativne povezave, ki povezujejo akterja s skupino Group 9.
Operacija Rewrite ponazarja, kako prefinjeni akterji grožnje izkoriščajo zastrupitev SEO, ranljivosti IIS in ogrožanje spletnih strežnikov za preusmerjanje prometa in izvajanje finančno motiviranih napadov.
