มัลแวร์ BadIIS

นักวิจัยด้านความปลอดภัยไซเบอร์ได้ค้นพบแคมเปญ SEO Poisoning ที่ซับซ้อน ซึ่งเชื่อว่าดำเนินการโดยผู้ก่อภัยคุกคามที่พูดภาษาจีน การโจมตีนี้มุ่งเป้าไปที่เอเชียตะวันออกและเอเชียตะวันออกเฉียงใต้เป็นหลัก โดยเฉพาะอย่างยิ่งในเวียดนาม แคมเปญนี้เชื่อมโยงกับมัลแวร์ชื่อ BadIIS และติดตามภายใต้ชื่อ CL-UNK-1037 โดยเฉพาะอย่างยิ่ง ผู้ก่อภัยคุกคามแสดงให้เห็นถึงความทับซ้อนของโครงสร้างพื้นฐานและสถาปัตยกรรมกับเอนทิตีที่ระบุว่าเป็น Group 9 และ DragonRank

พิษ SEO ทำงานอย่างไร

การวางยาพิษ SEO เกี่ยวข้องกับการจัดการผลการค้นหาของเครื่องมือค้นหาเพื่อหลอกล่อผู้ใช้ให้เข้าชมเว็บไซต์ที่ไม่คาดคิดหรือเป็นอันตราย เช่น เว็บไซต์การพนันหรือเว็บไซต์เนื้อหาสำหรับผู้ใหญ่ เพื่อแสวงหาผลประโยชน์ทางการเงิน ในแคมเปญนี้ ผู้โจมตีใช้ประโยชน์จากโมดูล IIS พื้นฐาน BadIIS เพื่อส่งเนื้อหาอันตรายจากเซิร์ฟเวอร์ที่ถูกต้องตามกฎหมายแต่ถูกบุกรุก

ฟังก์ชัน BadIIS ประกอบด้วย:

• การสกัดกั้นและแก้ไขการรับส่งข้อมูล HTTP ขาเข้า
• การแทรกคำหลักและวลีลงในเว็บไซต์ที่มีชื่อเสียงเพื่อควบคุมอันดับของเครื่องมือค้นหา
• การทำเครื่องหมายผู้เยี่ยมชมจากโปรแกรมค้นหาโดยใช้ส่วนหัวของ User-Agent และการดึงเนื้อหาที่เป็นอันตรายจากเซิร์ฟเวอร์ Command-and-Control (C2)

แนวทางนี้ช่วยให้เว็บไซต์ที่ถูกบุกรุกได้รับการจัดอันดับสูงสำหรับเงื่อนไขการค้นหาเป้าหมาย ส่งผลให้ผู้ใช้ที่ไม่ทันระวังถูกเปลี่ยนเส้นทางไปยังไซต์หลอกลวงในที่สุด

วงจรชีวิตการโจมตี

การโจมตีด้วยการวางยาพิษ SEO ปฏิบัติตามกระบวนการหลายขั้นตอน:

การสร้างสิ่งล่อใจ : ผู้โจมตีป้อนเนื้อหาที่ถูกปรับแต่งให้กับโปรแกรมรวบรวมข้อมูลของเครื่องมือค้นหา ทำให้เว็บไซต์ที่ถูกบุกรุกนั้นดูมีความเกี่ยวข้องกับเงื่อนไขการค้นหาที่ไม่เกี่ยวข้อง

การวางกับดัก : เหยื่อที่ค้นหาเงื่อนไขเหล่านี้พบกับไซต์ที่ดูเหมือนถูกต้องแต่ถูกบุกรุก ซึ่งจะเปลี่ยนเส้นทางไปยังปลายทางที่เป็นอันตราย

ในเหตุการณ์ที่ทราบอย่างน้อยหนึ่งครั้ง ผู้โจมตีใช้ประโยชน์จากการเข้าถึงโปรแกรมรวบรวมข้อมูลของเครื่องมือค้นหาเพื่อขยายขอบเขตการโจมตีโดยการสร้างบัญชีท้องถิ่นใหม่ ติดตั้งเว็บเชลล์ ดึงโค้ดต้นฉบับออกมา และติดตั้งอิมแพลนต์ BadIIS เพิ่มเติมสำหรับการเข้าถึงระยะไกลอย่างต่อเนื่อง

เครื่องมือและตัวแปรที่ใช้

ผู้ก่อภัยคุกคามใช้เครื่องมือและรูปแบบต่างๆ มากมายเพื่อจัดการ SEO และควบคุมปริมาณการเข้าชม:

• ตัวจัดการหน้า ASP.NET น้ำหนักเบาสำหรับการพร็อกซีเนื้อหาที่เป็นอันตราย

อิมแพลนต์ทั้งหมดได้รับการปรับแต่งเพื่อควบคุมผลลัพธ์ของเครื่องมือค้นหาและการไหลของข้อมูล แสดงให้เห็นถึงการทำงานที่ประสานงานกันอย่างดีเยี่ยม

การระบุแหล่งที่มาและหลักฐานทางภาษา

นักวิจัยมีความเชื่อมั่นสูงว่ากิจกรรมนี้ดำเนินการโดยผู้ก่อภัยคุกคามที่พูดภาษาจีน ข้อสรุปนี้ได้รับการสนับสนุนจาก:

• พบหลักฐานทางภาษาโดยตรงในมัลแวร์และโครงสร้างพื้นฐาน
• การเชื่อมโยงด้านสถาปัตยกรรมและการปฏิบัติการเชื่อมโยงผู้ดำเนินการกับคลัสเตอร์กลุ่ม 9

Operation Rewrite เป็นตัวอย่างว่าผู้ก่อภัยคุกคามที่มีความซับซ้อนใช้ประโยชน์จากการวางยา SEO จุดอ่อนของ IIS และการบุกรุกเว็บเซิร์ฟเวอร์เพื่อเปลี่ยนเส้นทางการรับส่งข้อมูลและดำเนินการโจมตีโดยใช้แรงจูงใจทางการเงินได้อย่างไร