Malware BadIIS
Një aktor kërcënimi që komunikon në gjuhën kineze të thjeshtuar është lidhur me një fushatë të re që synon vendet në të gjithë Azinë dhe Evropën. Qëllimi i fushatës është të manipulojë renditjen e motorëve të kërkimit përmes taktikave SEO. Kjo fushatë SEO e Black Hat, e quajtur DragonRank nga studiuesit e sigurisë kibernetike, ka ndikuar në rajone duke përfshirë Tajlandën, Indinë, Korenë e Jugut, Belgjikën, Holandën dhe Kinën.
DragonRank komprometon shërbimet e aplikacioneve në ueb për të vendosur predha të uebit, të cilat më pas përdoren për të mbledhur informacione të sistemit dhe për të ofruar malware si PlugX dhe BadIIS. Këto sulme kanë çuar në kompromisin e 35 serverëve të Shërbimeve të Informacionit të Internetit (IIS), duke synuar përfundimisht të instalojnë malware BadIIS, të identifikuar për herë të parë në gusht 2021.
Tabela e Përmbajtjes
Sulmuesit marrin përsipër serverët e IIS të komprometuar
Malware është projektuar posaçërisht për të lehtësuar mashtrimin me proxy dhe SEO duke konvertuar serverin e komprometuar IIS në një pikë transmetimi për komunikime mashtruese midis aktorëve të kërcënimit dhe viktimave të tyre. Për më tepër, ai mund të ndryshojë përmbajtjen e shërbyer për motorët e kërkimit për të manipuluar algoritmet dhe për të përmirësuar renditjen e faqeve të internetit të synuara nga sulmuesit.
Një nga gjetjet më të habitshme të hetimit është shkathtësia e malware IIS, veçanërisht në përdorimin e tij për mashtrime SEO. Ky malware është shfrytëzuar për të manipuluar algoritmet e motorëve të kërkimit, duke rritur dukshmërinë dhe reputacionin e faqeve të internetit të palëve të treta.
Sulmet më të fundit të zbuluara nga studiuesit mbulojnë një gamë të gjerë industrish, duke përfshirë bizhuteri, media, shërbimet kërkimore, kujdesin shëndetësor, prodhimin e videove dhe televizionit, prodhimin, transportin, organizatat fetare dhe shpirtërore, shërbimet e IT, marrëdhëniet ndërkombëtare, bujqësinë, sportin dhe madje edhe feng. shui.
Zinxhiri i sulmit i atribuohet DragonRank
Sulmi fillon duke shfrytëzuar dobësitë e njohura në aplikacionet e uebit si phpMyAdmin dhe WordPress për të vendosur predhën e internetit ASPXspy me burim të hapur. Kjo guaskë Web më pas shërben si një portë për futjen e mjeteve shtesë në mjedisin e synuar.
Qëllimi kryesor i fushatës është të komprometojë serverët IIS që presin faqet e internetit të korporatave. Sulmuesit përdorin këta serverë për të instaluar malware BadIIS, duke i ripërdorur ato si platforma për aktivitete mashtruese, shpesh duke përfshirë fjalë kyçe që lidhen me pornografinë dhe seksin.
Një tipar i dukshëm i malware është aftësia e tij për të imituar zvarritësin e motorit të kërkimit të Google në vargun e tij-Agjent përdorues kur lidhet me serverin Command-and-Control (C2). Kjo taktikë e ndihmon atë të shmangë disa masa sigurie të faqes në internet.
Aktorët e kërcënimit angazhohen në manipulimin e SEO
Aktori i kërcënimit manipulon SEO duke shfrytëzuar ose ndryshuar algoritmet e motorëve të kërkimit për të rritur renditjen e një faqe interneti në rezultatet e kërkimit. Kjo bëhet për të nxitur trafikun drejt sajteve mashtruese, për të rritur dukshmërinë e përmbajtjes mashtruese ose për të prishur konkurrentët duke fryrë artificialisht ose ulur renditjet.
DragonRank dallohet nga grupet e tjera të Black Hat SEO për shkak të qasjes së tij të shkeljes së serverëve shtesë brenda rrjetit të objektivit. Ai ruan kontrollin mbi këta serverë duke përdorur PlugX, një derë e pasme që përdoret zakonisht nga aktorët kinezë të kërcënimit, dhe mjete të ndryshme për grumbullimin e kredencialeve si Mimikatz , PrintNotifyPotato, BadPotato dhe GodPotato.
Teknikat keqdashëse dhe prania në internet
Malware PlugX i përdorur në këto sulme përdor teknika të ngarkimit anësor DLL. DLL ngarkues që nis ngarkesën e koduar përdor mekanizmin e trajtimit të përjashtimit të strukturuar të Windows (SEH) për të siguruar që skedari legjitim (dmth., binar i prirur për ngarkim anësor DLL) mund të ngarkojë PlugX pa shkaktuar asnjë sinjalizim sigurie.
Studiuesit kanë gjetur prova se aktori i kërcënimit operon në Telegram nën dorezën 'tttseo' dhe në aplikacionin e mesazheve të çastit QQ, ku kryejnë transaksione të paligjshme biznesi me klientët. Ata gjithashtu ofrojnë atë që duket të jetë shërbim me cilësi të lartë ndaj klientit, duke krijuar strategji promovuese të përshtatura për nevojat e klientëve të tyre.
Klientët mund të paraqesin fjalë kyçe dhe faqe interneti që duan të promovojnë, dhe DragonRank harton një strategji bazuar në këto specifika. Grupi gjithashtu fokusohet në shënjestrimin e promovimeve për vende dhe gjuhë specifike, duke ofruar një qasje të personalizuar dhe të plotë ndaj marketingut në internet.
