Злонамерни софтвер BadIIS
Истраживачи сајбер безбедности открили су софистицирану кампању тровања SEO-ом, за коју се верује да ју је спровео злонамерни актер који говори кинески. Напади су првенствено усмерени на источну и југоисточну Азију, са посебним фокусом на Вијетнам. Ова кампања је повезана са злонамерним софтвером под називом BadIIS и прати се под називом CL-UNK-1037. Приметно је да злонамерни актер показује инфраструктурна и архитектонска преклапања са ентитетима идентификованим као Group 9 и DragonRank.
Преглед садржаја
Како функционише SEO тровање
Тровање SEO-ом подразумева манипулисање резултатима претраживача како би се преварили корисници да посете неочекиване или злонамерне веб странице, као што су коцкање или портали за одрасле, ради финансијске добити. У овој кампањи, нападачи користе изворни IIS модул, BadIIS, да би приказивали злонамерни садржај са легитимних, али компромитованих сервера.
Функције BadIIS-а укључују:
- Пресретање и модификовање долазног HTTP саобраћаја.
- Убацивање кључних речи и фраза на реномиране веб странице ради манипулације рангирањем на претраживачима.
- Означавање посетилаца од стране претраживача помоћу заглавља User-Agent и преузимање зараженог садржаја са сервера за команде и контролу (C2).
Овај приступ омогућава компромитованим веб-сајтовима да се високо рангирају за циљане претраге, што на крају преусмерава неслутеће кориснике на преварне сајтове.
Животни циклус напада
Напад тровања SEO-ом прати процес од више корака:
Прављење мамца : Нападачи достављају манипулисани садржај претраживачима, чинећи да угрожени веб-сајт изгледа релевантно за неповезане термине за претрагу.
Откривање замке : Жртве које траже те термине наилазе на сајтове који изгледају легитимно, али су компромитовани, а који их преусмеравају на злонамерне дестинације.
У најмање једном познатом инциденту, нападачи су искористили приступ претраживача како би ескалирали нападе креирањем нових локалних налога, распоређивањем веб шкољки, крађом изворног кода и инсталирањем додатних BadIIS имплантата за трајни удаљени приступ.
Коришћени алати и варијанте
Претња користи више алата и варијанти како би постигао SEO манипулацију и контролу саобраћаја:
- Лагани ASP.NET програм за руковање страницама за проксирање злонамерног садржаја.
- Управљани .NET IIS модул за инспекцију/модификацију захтева и убацивање спам линкова/кључних речи.
- Свеобухватни PHP скрипт који комбинује преусмеравање корисника и динамичко SEO тровање.
Сви имплантати су прилагођени да контролишу резултате претраживача и проток саобраћаја, демонстрирајући високо координисано деловање.
Атрибуција и лингвистички докази
Истраживачи имају велико поверење да ову активност обавља претња која говори кинески. Овај закључак поткрепљују:
- Директни лингвистички докази пронађени у злонамерном софтверу и инфраструктури.
- Архитектонске и оперативне везе које повезују актера са кластером Групе 9.
Операција „Преписивање“ илуструје како софистицирани актери претњи користе тровање SEO-ом, IIS рањивости и компромитовање веб сервера како би преусмерили саобраћај и спроводили финансијски мотивисане нападе.
