Zlonamerna programska oprema BadIIS
Igralec grožnje, ki komunicira v poenostavljeni kitajščini, je bil povezan z novo kampanjo, ki cilja na države po vsej Aziji in Evropi. Cilj kampanje je manipulirati z uvrstitvijo v iskalnikih s taktikami SEO. Ta kampanja Black Hat SEO, ki so jo raziskovalci kibernetske varnosti poimenovali DragonRank, je vplivala na regije, vključno s Tajsko, Indijo, Južno Korejo, Belgijo, Nizozemsko in Kitajsko.
DragonRank ogroža storitve spletnih aplikacij za uvajanje spletnih lupin, ki se nato uporabljajo za zbiranje informacij o sistemu in dostavo zlonamerne programske opreme, kot sta PlugX in BadIIS. Ti napadi so privedli do ogrožanja 35 strežnikov internetnih informacijskih storitev (IIS), katerih končni cilj je namestiti zlonamerno programsko opremo BadIIS, ki je bila prvič ugotovljena avgusta 2021.
Kazalo
Napadalci prevzamejo ogrožene strežnike IIS
Zlonamerna programska oprema je posebej zasnovana za olajšanje goljufij s posredniško opremo in SEO s pretvorbo ogroženega strežnika IIS v posredniško točko za goljufivo komunikacijo med akterji groženj in njihovimi žrtvami. Poleg tega lahko spremeni vsebino, ki je prikazana iskalnikom, da manipulira z algoritmi in izboljša uvrstitev spletnih mest, ki so tarča napadalcev.
Ena najbolj osupljivih ugotovitev preiskave je vsestranskost zlonamerne programske opreme IIS, zlasti pri njeni uporabi za goljufije SEO. Ta zlonamerna programska oprema se izkorišča za manipulacijo algoritmov iskalnikov, s čimer se poveča vidnost in ugled spletnih mest tretjih oseb.
Najnovejši napadi, ki so jih odkrili raziskovalci, pokrivajo široko paleto industrij, vključno z nakitom, mediji, raziskovalnimi storitvami, zdravstvenim varstvom, video in televizijsko produkcijo, proizvodnjo, transportom, verskimi in duhovnimi organizacijami, storitvami IT, mednarodnimi zadevami, kmetijstvom, športom in celo fengom. shui.
Napadna veriga, pripisana DragonRank
Napad se začne z izkoriščanjem znanih ranljivosti v spletnih aplikacijah, kot sta phpMyAdmin in WordPress, za namestitev odprtokodne spletne lupine ASPXspy. Ta spletna lupina nato služi kot prehod za uvedbo dodatnih orodij v ciljno okolje.
Glavni cilj kampanje je ogroziti strežnike IIS, ki gostijo spletna mesta podjetij. Napadalci uporabljajo te strežnike za namestitev zlonamerne programske opreme BadIIS in jih spremenijo v platforme za goljufive dejavnosti, ki pogosto vključujejo ključne besede, povezane s pornografijo in spolnostjo.
Pomembna značilnost zlonamerne programske opreme je njena zmožnost, da pooseblja Googlovega pajka iskalnika v svojem nizu User-Agent, ko se povezuje s strežnikom Command-and-Control (C2). Ta taktika mu pomaga, da se izogne nekaterim varnostnim ukrepom spletnega mesta.
Akterji groženj se ukvarjajo z manipulacijo SEO
Akter grožnje manipulira z SEO tako, da izkorišča ali spreminja algoritme iskalnika, da izboljša uvrstitev spletne strani v rezultatih iskanja. To se naredi za usmerjanje prometa na goljufiva mesta, povečanje vidnosti goljufive vsebine ali motenje konkurentov z umetnim zvišanjem ali znižanjem uvrstitev.
DragonRank izstopa od drugih skupin Black Hat SEO zaradi svojega pristopa vdora v dodatne strežnike znotraj ciljnega omrežja. Ohranja nadzor nad temi strežniki s pomočjo PlugX, stranskih vrat, ki jih običajno uporabljajo kitajski akterji groženj, in različnih orodij za zbiranje poverilnic, kot so Mimikatz , PrintNotifyPotato, BadPotato in GodPotato.
Zlonamerne tehnike in spletna prisotnost
Zlonamerna programska oprema PlugX, uporabljena v teh napadih, uporablja tehnike stranskega nalaganja DLL. Nalagalnik DLL, ki sproži šifrirano koristno obremenitev, uporablja mehanizem Windows Structured Exception Handling (SEH), da zagotovi, da zakonita datoteka (tj. dvojiška datoteka, ki je nagnjena k stranskemu nalaganju DLL) lahko naloži PlugX, ne da bi sprožila varnostna opozorila.
Raziskovalci so našli dokaze, da akter grožnje deluje na Telegramu pod imenom 'tttseo' in v aplikaciji za takojšnje sporočanje QQ, kjer opravlja nezakonite poslovne transakcije s strankami. Zagotavljajo tudi storitve, ki se zdijo visokokakovostne, in ustvarjajo promocijske strategije, prilagojene potrebam strank.
Stranke lahko predložijo ključne besede in spletna mesta, ki jih želijo promovirati, DragonRank pa na podlagi teh specifikacij oblikuje strategijo. Skupina se osredotoča tudi na ciljanje promocij za določene države in jezike ter ponuja prilagojen in temeljit pristop k spletnemu trženju.
