BadIIS Malware
Studiuesit e sigurisë kibernetike kanë zbuluar një fushatë të sofistikuar helmimi SEO, që besohet se kryhet nga një aktor kërcënimi që flet kinezisht. Sulmet synojnë kryesisht Azinë Lindore dhe Juglindore, me një fokus të veçantë në Vietnam. Kjo fushatë shoqërohet me një program keqdashës të quajtur BadIIS dhe gjurmohet nën emrin CL-UNK-1037. Veçanërisht, aktori kërcënim tregon mbivendosje infrastrukturore dhe arkitekturore me entitete të identifikuara si Grupi 9 dhe DragonRank.
Tabela e Përmbajtjes
Si funksionon helmimi i SEO-s
Helmimi i SEO-së përfshin manipulimin e rezultateve të motorëve të kërkimit për të mashtruar përdoruesit që të vizitojnë faqe interneti të papritura ose dashakeqe, të tilla si lojërat e fatit ose portalet me përmbajtje për të rritur, për përfitime financiare. Në këtë fushatë, sulmuesit shfrytëzojnë një modul nativ IIS, BadIIS, për të ofruar përmbajtje dashakeqe nga serverë legjitimë, por të kompromentuar.
Funksionet e BadIIS përfshijnë:
- Ndërprerja dhe modifikimi i trafikut HTTP hyrës.
- Injektimi i fjalëve kyçe dhe frazave në faqet e internetit me reputacion të mirë për të manipuluar renditjen e motorëve të kërkimit.
- Fërkimi i vizitorëve nga shfletuesit e motorëve të kërkimit duke përdorur kokën User-Agent dhe marrja e përmbajtjes së helmuar nga një server Command-and-Control (C2).
Kjo qasje u lejon faqeve të internetit të kompromentuara të renditen lart për termat e kërkimit të synuar, duke i ridrejtuar në fund të fundit përdoruesit e pavetëdijshëm drejt faqeve mashtruese.
Cikli Jetësor i Sulmit
Sulmi i helmimit SEO ndjek një proces me shumë hapa:
Ndërtimi i joshjes : Sulmuesit ushqejnë përmbajtje të manipuluar te shfletuesit e motorëve të kërkimit, duke e bërë faqen e internetit të kompromentuar të duket relevante për terma kërkimi të palidhur.
Ngritja e kurthit : Viktimat që kërkojnë këto terma hasin faqe që duken legjitime, por të kompromentuara, të cilat i ridrejtojnë ata në destinacione keqdashëse.
Në të paktën një incident të njohur, sulmuesit shfrytëzuan aksesin e programeve crawler të motorëve të kërkimit për të përshkallëzuar sulmet duke krijuar llogari të reja lokale, duke vendosur shell-e web, duke nxjerrë kodin burimor dhe duke instaluar implante shtesë BadIIS për akses të vazhdueshëm në distancë.
Mjetet dhe Variantet e Përdorura
Aktori kërcënues përdor mjete dhe variante të shumta për të arritur manipulimin e SEO-së dhe kontrollin e trafikut:
- Trajner i lehtë faqesh ASP.NET për proxy-imin e përmbajtjes dashakeqe.
- Modul i menaxhuar .NET IIS për inspektimin/modifikimin e kërkesave dhe injektimin e lidhjeve/fjalëve kyçe të padëshiruara.
- Skript PHP gjithëpërfshirës që kombinon ridrejtimin e përdoruesit dhe helmimin dinamik të SEO-s.
Të gjitha implantet janë të personalizuara për të kontrolluar rezultatet e motorëve të kërkimit dhe rrjedhën e trafikut, duke demonstruar një operacion shumë të koordinuar.
Atribuimi dhe Dëshmia Gjuhësore
Studiuesit kanë besim të lartë se ky aktivitet drejtohet nga një aktor kërcënimi që flet kinezisht. Ky përfundim mbështetet nga:
- Prova të drejtpërdrejta gjuhësore të gjetura në programet keqdashëse dhe infrastrukturën.
- Lidhje arkitekturore dhe operacionale që lidhin aktorin me klasterin e Grupit 9.
Operacioni Rewrite ilustron se si aktorët kërcënues të sofistikuar po shfrytëzojnë helmimin e SEO-s, dobësitë e IIS dhe kompromentimet e serverëve web për të ridrejtuar trafikun dhe për të kryer sulme të motivuara financiarisht.
