BadIIS skadlig programvara
En hotaktör som kommunicerar på förenklad kinesiska har kopplats till en ny kampanj riktad mot länder i Asien och Europa. Kampanjens mål är att manipulera sökmotorernas ranking genom SEO-taktik. Denna Black Hat SEO-kampanj, kallad DragonRank av cybersäkerhetsforskare, har påverkat regioner inklusive Thailand, Indien, Sydkorea, Belgien, Nederländerna och Kina.
DragonRank kompromissar webbapplikationstjänster för att distribuera webbskal, som sedan används för att samla in systeminformation och leverera skadlig programvara som PlugX och BadIIS. Dessa attacker har lett till att 35 Internet Information Services (IIS)-servrar har kompromissat, som slutligen syftar till att installera BadIIS malware, först identifierades i augusti 2021.
Innehållsförteckning
Angripare tar över komprometterade IIS-servrar
Skadlig programvara är speciellt utformad för att underlätta proxyware och SEO-bedrägerier genom att konvertera den komprometterade IIS-servern till en reläpunkt för bedräglig kommunikation mellan hotaktörer och deras offer. Dessutom kan det ändra innehållet som visas för sökmotorer för att manipulera algoritmer och förbättra rankningen av webbplatser som angriparna riktar sig till.
En av de mest slående resultaten av undersökningen är mångsidigheten hos IIS skadlig programvara, särskilt i dess användning för SEO-bedrägerier. Denna skadliga programvara utnyttjas för att manipulera sökmotorernas algoritmer, vilket förbättrar synligheten och ryktet för tredje parts webbplatser.
De senaste attackerna som avslöjats av forskare täcker ett brett spektrum av industrier, inklusive smycken, media, forskningstjänster, hälsovård, video- och tv-produktion, tillverkning, transport, religiösa och andliga organisationer, IT-tjänster, internationella frågor, jordbruk, sport och till och med feng shui.
Attackkedja tillskrivs DragonRank
Attacken börjar med att man utnyttjar kända sårbarheter i webbapplikationer som phpMyAdmin och WordPress för att distribuera ASPXspy-webbskalet med öppen källkod. Detta webbskal fungerar sedan som en inkörsport för att introducera ytterligare verktyg i målmiljön.
Kampanjens huvudmål är att äventyra IIS-servrar som är värd för företagswebbplatser. Angriparna använder dessa servrar för att installera BadIIS malware, och återanvänder dem som plattformar för bedrägliga aktiviteter, ofta med nyckelord relaterade till pornografi och sex.
En anmärkningsvärd egenskap hos skadlig programvara är dess förmåga att imitera Googles sökmotorsökrobot i dess User-Agent-sträng när den ansluter till Command-and-Control-servern (C2). Denna taktik hjälper den att undvika vissa säkerhetsåtgärder på webbplatsen.
Hotaktörer engagerar sig i SEO-manipulation
Hotaktören manipulerar SEO genom att utnyttja eller ändra sökmotoralgoritmer för att öka en webbplatss rankning i sökresultat. Detta görs för att driva trafik till bedrägliga webbplatser, öka synligheten för bedrägligt innehåll eller störa konkurrenter genom att artificiellt blåsa upp eller sänka rankningar.
DragonRank sticker ut från andra Black Hat SEO-grupper på grund av dess strategi att bryta mot ytterligare servrar inom målets nätverk. Den upprätthåller kontrollen över dessa servrar med PlugX, en bakdörr som vanligtvis används av kinesiska hotaktörer, och olika verktyg för insamling av autentiseringsuppgifter som Mimikatz , PrintNotifyPotato, BadPotato och GodPotato.
Skadliga tekniker och onlinenärvaro
PlugX skadlig programvara som används i dessa attacker använder tekniker för sidladdning av DLL. Laddaren DLL som initierar den krypterade nyttolasten använder Windows Structured Exception Handling (SEH)-mekanismen för att säkerställa att den legitima filen (dvs. den binära som är benägen att DLL-sidoladdas) kan ladda PlugX utan att utlösa några säkerhetsvarningar.
Forskare har hittat bevis för att hotaktören opererar på Telegram under handtaget "tttseo" och på QQ-appen för snabbmeddelanden, där de genomför olagliga affärstransaktioner med kunder. De tillhandahåller också vad som verkar vara högkvalitativ kundservice och skapar marknadsföringsstrategier som är skräddarsydda för deras kunders behov.
Kunder kan skicka in sökord och webbplatser de vill marknadsföra, och DragonRank utformar en strategi baserad på dessa specifikationer. Gruppen fokuserar också på att rikta in sig på kampanjer för specifika länder och språk, och erbjuder ett skräddarsytt och grundligt tillvägagångssätt för marknadsföring på nätet.