BadIIS Malware
Natuklasan ng mga mananaliksik sa cybersecurity ang isang sopistikadong SEO poisoning campaign, na pinaniniwalaang isinasagawa ng isang banta na nagsasalita ng Chinese. Pangunahing pinupuntirya ng mga pag-atake ang East at Southeast Asia, na may partikular na pagtutok sa Vietnam. Ang kampanyang ito ay nauugnay sa malware na tinatawag na BadIIS at sinusubaybayan sa ilalim ng pangalang CL-UNK-1037. Kapansin-pansin, ang aktor ng banta ay nagpapakita ng mga imprastraktura at arkitektura na magkakapatong sa mga entity na kinilala bilang Group 9 at DragonRank.
Talaan ng mga Nilalaman
Paano Gumagana ang SEO Poisoning
Ang pagkalason sa SEO ay nagsasangkot ng pagmamanipula sa mga resulta ng search engine upang linlangin ang mga user na bumisita sa hindi inaasahang o malisyosong mga website, tulad ng pagsusugal o mga portal ng nilalamang pang-adulto, para sa pinansiyal na pakinabang. Sa kampanyang ito, sinasamantala ng mga umaatake ang isang native na module ng IIS, BadIIS, upang maghatid ng nakakahamak na nilalaman mula sa mga lehitimong ngunit nakompromisong mga server.
Kasama sa mga function ng BadIIS ang:
- Pagharang at pagbabago ng papasok na trapiko ng HTTP.
- Pag-iniksyon ng mga keyword at parirala sa mga kagalang-galang na website upang manipulahin ang mga ranggo ng search engine.
- Pag-flag ng mga bisita mula sa mga crawler ng search engine gamit ang header ng User-Agent at pagkuha ng lason na nilalaman mula sa isang Command-and-Control (C2) server.
Binibigyang-daan ng diskarteng ito ang mga nakompromisong website na magkaroon ng mataas na ranggo para sa mga naka-target na termino para sa paghahanap, na sa huli ay nagre-redirect ng mga hindi pinaghihinalaang user sa mga site ng scam.
Ang Ikot ng Buhay ng Pag-atake
Ang pag-atake ng pagkalason sa SEO ay sumusunod sa isang proseso ng maraming hakbang:
Pagbuo ng pang-akit : Ang mga attacker ay nagpapakain ng manipuladong nilalaman sa mga search engine crawler, na ginagawang ang nakompromisong website ay mukhang may kaugnayan para sa hindi nauugnay na mga termino para sa paghahanap.
Nagsisimula ang bitag : Ang mga biktima na naghahanap ng mga terminong iyon ay nakatagpo ng mga lehitimong hitsura ngunit nakompromiso na mga site, na nagre-redirect sa kanila sa mga nakakahamak na destinasyon.
Sa hindi bababa sa isang kilalang insidente, ginamit ng mga attacker ang access sa search engine crawler upang palakihin ang mga pag-atake sa pamamagitan ng paglikha ng mga bagong lokal na account, pag-deploy ng mga web shell, pag-exfiltrate ng source code, at pag-install ng mga karagdagang BadIIS implant para sa patuloy na malayuang pag-access.
Mga Tool at Variant na Ginamit
Gumagamit ang threat actor ng maraming tool at variant para makamit ang pagmamanipula ng SEO at kontrol sa trapiko:
- Magaang ASP.NET page handler para sa pag-proxy ng nakakahamak na nilalaman.
Ang lahat ng mga implant ay na-customize upang kontrolin ang mga resulta ng search engine at daloy ng trapiko, na nagpapakita ng isang lubos na coordinated na operasyon.
Pagpapatungkol at Katibayan sa Linggwistika
Malaki ang kumpiyansa ng mga mananaliksik na ang aktibidad na ito ay pinamamahalaan ng isang banta na nagsasalita ng Chinese. Ang konklusyong ito ay sinusuportahan ng:
- Direktang linguistic na ebidensya na natagpuan sa malware at imprastraktura.
- Arkitektural at operational na mga link na nagkokonekta sa aktor sa Group 9 cluster.
Ang Operation Rewrite ay nagpapakita kung paano ginagamit ng mga sopistikadong aktor ng pagbabanta ang pagkalason sa SEO, mga kahinaan sa IIS, at mga kompromiso ng web server upang i-redirect ang trapiko at magsagawa ng mga pag-atakeng may motibasyon sa pananalapi.
