БадИИС Малвер
Учесник претњи који комуницира на поједностављеном кинеском повезан је са новом кампањом која циља земље широм Азије и Европе. Циљ кампање је да манипулише рангирањем на претраживачима путем СЕО тактике. Ова Блацк Хат СЕО кампања, коју су истраживачи сајбер безбедности назвали ДрагонРанк, утицала је на регионе укључујући Тајланд, Индију, Јужну Кореју, Белгију, Холандију и Кину.
ДрагонРанк компромитује услуге веб апликација за постављање веб шкољки, које се затим користе за прикупљање системских информација и испоруку злонамерног софтвера као што су ПлугКс и БадИИС. Ови напади су довели до компромитовања 35 сервера Интернет Информатион Сервицес (ИИС) са циљем да инсталирају злонамерни софтвер БадИИС, који је први пут идентификован у августу 2021.
Преглед садржаја
Нападачи преузимају компромитоване ИИС сервере
Малвер је посебно дизајниран да олакша прокси софтвер и СЕО превару претварањем компромитованог ИИС сервера у релејну тачку за лажну комуникацију између актера претњи и њихових жртава. Поред тога, може да промени садржај који се сервира претраживачима како би манипулисао алгоритмима и побољшао рангирање веб локација које су циљане од стране нападача.
Један од најупечатљивијих налаза истраге је свестраност ИИС малвера, посебно у његовој употреби за СЕО преваре. Овај злонамерни софтвер се искориштава да манипулише алгоритмима претраживача, побољшавајући видљивост и репутацију веб локација трећих страна.
Најновији напади које су открили истраживачи покривају широк спектар индустрија, укључујући накит, медије, истраживачке услуге, здравство, видео и телевизијску продукцију, производњу, транспорт, верске и духовне организације, ИТ услуге, међународне послове, пољопривреду, спорт, па чак и фенг схуи.
Ланац напада приписан ДрагонРанк-у
Напад почиње искоришћавањем познатих рањивости у веб апликацијама као што су пхпМиАдмин и ВордПресс да би се применила АСПКСспи веб шкољка отвореног кода. Ова веб љуска онда служи као капија за увођење додатних алата у циљно окружење.
Главни циљ кампање је компромитовање ИИС сервера који хостују корпоративне веб странице. Нападачи користе ове сервере за инсталирање злонамерног софтвера БадИИС, претварајући их у платформе за лажне активности, које често укључују кључне речи повезане са порнографијом и сексом.
Значајна карактеристика малвера је његова способност да се лажно представља за Гоогле претраживач претраживача у стрингу Усер-Агент када се повезује са сервером за команду и контролу (Ц2). Ова тактика му помаже да избегне неке мере безбедности веб локације.
Актери претњи се баве СЕО манипулацијом
Актер претње манипулише СЕО-ом тако што искоришћава или мења алгоритме претраживача како би побољшао рангирање веб локације у резултатима претраге. Ово се ради да би се усмерио саобраћај на лажне сајтове, повећала видљивост лажног садржаја или ометала конкуренте вештачким надувавањем или смањивањем рангирања.
ДрагонРанк се издваја од осталих Блацк Хат СЕО група због свог приступа пробијању додатних сервера унутар мреже циља. Он одржава контролу над овим серверима користећи ПлугКс, бацкдоор који обично користе кинески актери претњи, и разне алате за прикупљање акредитива као што су Мимикатз , ПринтНотифиПотато, БадПотато и ГодПотато.
Злонамерне технике и присуство на мрежи
Злонамерни софтвер ПлугКс који се користи у овим нападима користи технике бочног учитавања ДЛЛ-а. ДЛЛ за учитавање који иницира шифровани корисни терет користи механизам Виндовс Струцтуред Екцептион Хандлинг (СЕХ) како би осигурао да легитимна датотека (тј. бинарни фајл који је склон бочном учитавању ДЛЛ-а) може да учита ПлугКс без покретања било каквих безбедносних упозорења.
Истраживачи су пронашли доказе да актер претње ради на Телеграму под ознаком „тттсео“ и на апликацији за размену тренутних порука КК, где обављају нелегалне пословне трансакције са клијентима. Они такође пружају оно што се чини као висококвалитетне услуге купцима, креирајући промотивне стратегије прилагођене потребама њихових клијената.
Клијенти могу да поднесу кључне речи и веб локације које желе да промовишу, а ДрагонРанк дизајнира стратегију засновану на овим спецификацијама. Група се такође фокусира на циљање промоција за одређене земље и језике, нудећи прилагођен и темељан приступ онлајн маркетингу.
