Rabattoffert för flera licenser
Hotdatabas Skadlig programvara BadIIS-skadlig programvara

BadIIS-skadlig programvara

Med Mezo år Skadlig programvara
Översätt till:

Cybersäkerhetsforskare har avslöjat en sofistikerad SEO-förgiftningskampanj, som tros utföras av en kinesisktalande hotaktör. Attackerna riktar sig främst mot Öst- och Sydostasien, med särskilt fokus på Vietnam. Denna kampanj är kopplad till skadlig kod som kallas BadIIS och spåras under namnet CL-UNK-1037. Det är värt att notera att hotaktören uppvisar infrastruktur- och arkitekturöverlappningar med enheter identifierade som Group 9 och DragonRank.

Hur SEO-förgiftning fungerar

SEO-förgiftning innebär att manipulera sökmotorresultat för att lura användare att besöka oväntade eller skadliga webbplatser, såsom spel- eller vuxeninnehållsportaler, för ekonomisk vinning. I den här kampanjen utnyttjar angriparna en inbyggd IIS-modul, BadIIS, för att leverera skadligt innehåll från legitima men komprometterade servrar.

BadIIS-funktioner inkluderar:

  • Avlyssna och modifiera inkommande HTTP-trafik.
  • Injicera nyckelord och fraser på välrenommerade webbplatser för att manipulera sökmotorrankningar.
  • Flaggar besökare från sökmotorernas crawlers med hjälp av User-Agent-headern och hämtar förgiftat innehåll från en Command-and-Control (C2)-server.

Denna metod gör att komprometterade webbplatser rankas högt för riktade söktermer, vilket i slutändan omdirigerar intet ont anande användare till bluffsajter.

Attackens livscykel

SEO-förgiftningsattacken följer en process i flera steg:

Att bygga lockelsen : Angripare matar manipulerat innehåll till sökmotorernas robotar, vilket gör att den komprometterade webbplatsen verkar relevant för orelaterade söktermer.

Fällan faller : Offer som söker efter dessa termer stöter på legitima men komprometterade webbplatser, som omdirigerar dem till skadliga destinationer.

I minst en känd incident utnyttjade angripare åtkomst från sökmotorers crawlers för att eskalera attacker genom att skapa nya lokala konton, driftsätta webbshells, exfiltrera källkod och installera ytterligare BadIIS-implantat för ihållande fjärråtkomst.

Verktyg och varianter som används

Hotaktören använder flera verktyg och varianter för att uppnå SEO-manipulation och trafikkontroll:

  • Lätt ASP.NET-sidhanterare för proxyöverföring av skadligt innehåll.
  • Hanterad .NET IIS-modul för att inspektera/modifiera förfrågningar och injicera spam-länkar/nyckelord.
  • Allt-i-ett PHP-skript som kombinerar användaromdirigering och dynamisk SEO-förgiftning.

Alla implantat är anpassade för att kontrollera sökmotorresultat och trafikflöde, vilket visar på en mycket koordinerad operation.

Attribuering och språkliga bevis

Forskarna har stor tilltro till att denna aktivitet drivs av en kinesisktalande hotbildare. Denna slutsats stöds av:

  • Direkta språkliga bevis hittades i skadlig programvara och infrastruktur.
  • Arkitektoniska och operativa länkar som kopplar samman aktören med Grupp 9-klustret.

Operation Rewrite exemplifierar hur sofistikerade hotaktörer utnyttjar SEO-förgiftning, IIS-sårbarheter och webbserverkomprometter för att omdirigera trafik och utföra ekonomiskt motiverade attacker.

Trendigt

Mest sedda

Läser in...