มัลแวร์ BadIIS

ผู้ก่อภัยคุกคามที่สื่อสารด้วยภาษาจีนตัวย่อถูกเชื่อมโยงกับแคมเปญใหม่ที่กำหนดเป้าหมายประเทศต่างๆ ทั่วเอเชียและยุโรป เป้าหมายของแคมเปญนี้คือการจัดการอันดับเครื่องมือค้นหาโดยใช้กลวิธี SEO แคมเปญ Black Hat SEO นี้ซึ่งนักวิจัยด้านความปลอดภัยทางไซเบอร์เรียกว่า DragonRank ได้ส่งผลกระทบต่อภูมิภาคต่างๆ รวมถึงประเทศไทย อินเดีย เกาหลีใต้ เบลเยียม เนเธอร์แลนด์ และจีน

DragonRank ทำลายบริการแอปพลิเคชันเว็บเพื่อปรับใช้เว็บเชลล์ ซึ่งจากนั้นจะถูกใช้เพื่อรวบรวมข้อมูลระบบและส่งมัลแวร์เช่น PlugX และ BadIIS การโจมตีเหล่านี้ส่งผลให้เซิร์ฟเวอร์ Internet Information Services (IIS) 35 แห่งถูกบุกรุก โดยมีเป้าหมายสุดท้ายคือการติดตั้งมัลแวร์ BadIIS ซึ่งระบุตัวตนครั้งแรกในเดือนสิงหาคม 2021

ผู้โจมตีเข้ายึดครองเซิร์ฟเวอร์ IIS ที่ถูกบุกรุก

มัลแวร์ได้รับการออกแบบมาโดยเฉพาะเพื่ออำนวยความสะดวกให้กับซอฟต์แวร์พร็อกซีและการฉ้อโกง SEO โดยแปลงเซิร์ฟเวอร์ IIS ที่ถูกบุกรุกให้กลายเป็นจุดส่งต่อสำหรับการสื่อสารฉ้อโกงระหว่างผู้ก่อภัยคุกคามและเหยื่อ นอกจากนี้ ยังสามารถเปลี่ยนแปลงเนื้อหาที่ส่งไปยังเครื่องมือค้นหาเพื่อบิดเบือนอัลกอริทึมและปรับปรุงอันดับของเว็บไซต์ที่ผู้โจมตีกำหนดเป้าหมาย

ผลการค้นพบที่น่าทึ่งที่สุดประการหนึ่งจากการสืบสวนคือความคล่องตัวของมัลแวร์ IIS โดยเฉพาะอย่างยิ่งในการใช้งานเพื่อการฉ้อโกง SEO มัลแวร์นี้ถูกใช้เพื่อควบคุมอัลกอริทึมของเครื่องมือค้นหา เพื่อเพิ่มการมองเห็นและชื่อเสียงของเว็บไซต์ของบุคคลที่สาม

การโจมตีล่าสุดที่นักวิจัยเปิดโปงนั้นครอบคลุมหลากหลายอุตสาหกรรม เช่น เครื่องประดับ สื่อ บริการวิจัย การดูแลสุขภาพ การผลิตวิดีโอและโทรทัศน์ การผลิต การขนส่ง องค์กรทางศาสนาและจิตวิญญาณ บริการด้านไอที กิจการระหว่างประเทศ เกษตรกรรม กีฬา และแม้แต่ฮวงจุ้ย

ห่วงโซ่การโจมตีที่นำมาจาก DragonRank

การโจมตีเริ่มต้นด้วยการใช้ประโยชน์จากช่องโหว่ที่ทราบในแอปพลิเคชันเว็บ เช่น phpMyAdmin และ WordPress เพื่อปรับใช้เว็บเชลล์โอเพนซอร์ส ASPXspy จากนั้นเว็บเชลล์นี้จะทำหน้าที่เป็นเกตเวย์สำหรับแนะนำเครื่องมือเพิ่มเติมให้กับสภาพแวดล้อมเป้าหมาย

เป้าหมายหลักของแคมเปญนี้คือการโจมตีเซิร์ฟเวอร์ IIS ที่โฮสต์เว็บไซต์ขององค์กร ผู้โจมตีใช้เซิร์ฟเวอร์เหล่านี้เพื่อติดตั้งมัลแวร์ BadIIS โดยเปลี่ยนให้เซิร์ฟเวอร์เหล่านี้กลายเป็นแพลตฟอร์มสำหรับกิจกรรมฉ้อโกง ซึ่งมักเกี่ยวข้องกับคำสำคัญที่เกี่ยวข้องกับสื่อลามกและเรื่องเพศ

คุณสมบัติที่โดดเด่นของมัลแวร์คือความสามารถในการปลอมตัวเป็นโปรแกรมค้นหาของ Google ในสตริง User-Agent เมื่อเชื่อมต่อกับเซิร์ฟเวอร์ Command-and-Control (C2) กลวิธีนี้ช่วยให้มัลแวร์หลบเลี่ยงมาตรการรักษาความปลอดภัยของเว็บไซต์ได้

ผู้ก่อภัยคุกคามมีส่วนร่วมในการจัดการ SEO

ผู้ก่อภัยคุกคามจะจัดการ SEO โดยใช้ประโยชน์หรือเปลี่ยนแปลงอัลกอริทึมของเครื่องมือค้นหาเพื่อเพิ่มอันดับของเว็บไซต์ในผลการค้นหา ซึ่งทำเพื่อดึงดูดผู้เข้าชมไปยังไซต์หลอกลวง เพิ่มการมองเห็นเนื้อหาหลอกลวง หรือขัดขวางคู่แข่งโดยเพิ่มหรือลดอันดับอย่างไม่เป็นธรรมชาติ

DragonRank โดดเด่นกว่ากลุ่ม Black Hat SEO อื่นๆ เนื่องจากวิธีการเจาะเซิร์ฟเวอร์เพิ่มเติมภายในเครือข่ายของเป้าหมาย โดย DragonRank จะควบคุมเซิร์ฟเวอร์เหล่านี้โดยใช้ PlugX ซึ่งเป็นแบ็คดอร์ที่ผู้ก่อภัยคุกคามชาวจีนมักใช้ และเครื่องมือการเก็บเกี่ยวข้อมูลประจำตัวต่างๆ เช่น Mimikatz , PrintNotifyPotato, BadPotato และ GodPotato

เทคนิคที่เป็นอันตรายและการปรากฏตัวออนไลน์

มัลแวร์ PlugX ที่ใช้ในการโจมตีเหล่านี้ใช้เทคนิคการโหลด DLL จากด้านข้าง DLL ของตัวโหลดที่เริ่มโหลดข้อมูลที่เข้ารหัสจะใช้กลไก Windows Structured Exception Handling (SEH) เพื่อให้แน่ใจว่าไฟล์ที่ถูกต้อง (เช่น ไฟล์ไบนารีที่มีแนวโน้มจะโหลด DLL จากด้านข้าง) สามารถโหลด PlugX ได้โดยไม่ต้องแจ้งเตือนด้านความปลอดภัยใดๆ

นักวิจัยพบหลักฐานว่าผู้ก่อภัยคุกคามดำเนินการบน Telegram ภายใต้ชื่อ 'tttseo' และบนแอปส่งข้อความโต้ตอบแบบทันที QQ โดยทำธุรกรรมทางธุรกิจที่ผิดกฎหมายกับลูกค้า นอกจากนี้ พวกเขายังให้บริการลูกค้าที่ดูเหมือนมีคุณภาพสูง โดยสร้างกลยุทธ์ส่งเสริมการขายที่เหมาะกับความต้องการของลูกค้า

ลูกค้าสามารถส่งคำสำคัญและเว็บไซต์ที่ต้องการโปรโมตได้ และ DragonRank จะออกแบบกลยุทธ์โดยอิงตามข้อกำหนดเหล่านี้ นอกจากนี้ กลุ่มยังมุ่งเน้นที่การกำหนดเป้าหมายโปรโมชันสำหรับประเทศและภาษาเฉพาะ โดยเสนอแนวทางที่ปรับแต่งได้และครอบคลุมสำหรับการตลาดออนไลน์