BadIIS Malware
Ang isang banta na aktor na nakikipag-usap sa pinasimpleng Chinese ay na-link sa isang bagong campaign na nagta-target sa mga bansa sa buong Asia at Europe. Ang layunin ng kampanya ay manipulahin ang mga ranggo ng search engine sa pamamagitan ng mga taktika sa SEO. Ang Black Hat SEO campaign na ito, na tinawag na DragonRank ng mga cybersecurity researcher, ay nakaapekto sa mga rehiyon kabilang ang Thailand, India, South Korea, Belgium, Netherlands, at China.
Kinokompromiso ng DragonRank ang mga serbisyo ng Web application upang mag-deploy ng mga Web shell, na pagkatapos ay ginagamit upang mangalap ng impormasyon ng system at maghatid ng malware tulad ng PlugX at BadIIS. Ang mga pag-atake na ito ay humantong sa kompromiso ng 35 Internet Information Services (IIS) server, sa huli ay naglalayong mag-install ng BadIIS malware, na unang natukoy noong Agosto 2021.
Talaan ng mga Nilalaman
Kinuha ng mga Attacker ang Mga Nakompromisong IIS Server
Ang malware ay partikular na idinisenyo upang mapadali ang proxy ware at SEO fraud sa pamamagitan ng pag-convert sa nakompromisong IIS server sa isang relay point para sa mga mapanlinlang na komunikasyon sa pagitan ng mga aktor ng pagbabanta at kanilang mga biktima. Bukod pa rito, maaari nitong baguhin ang nilalamang inihatid sa mga search engine upang manipulahin ang mga algorithm at pagbutihin ang mga ranggo ng mga website na tina-target ng mga umaatake.
Ang isa sa mga pinaka-kapansin-pansin na natuklasan ng pagsisiyasat ay ang versatility ng IIS malware, lalo na sa paggamit nito para sa SEO fraud. Ang malware na ito ay pinagsamantalahan upang manipulahin ang mga algorithm ng search engine, na nagpapahusay sa visibility at reputasyon ng mga third-party na website.
Ang pinakahuling pag-atake na natuklasan ng mga mananaliksik ay sumasaklaw sa isang malawak na hanay ng mga industriya, kabilang ang mga alahas, media, mga serbisyo sa pananaliksik, pangangalaga sa kalusugan, produksyon ng video at telebisyon, pagmamanupaktura, transportasyon, mga organisasyong relihiyoso at espirituwal, mga serbisyo sa IT, mga internasyonal na gawain, agrikultura, palakasan at kahit feng shui.
Attack Chain na Na-attribute sa DragonRank
Nagsisimula ang pag-atake sa pamamagitan ng pagsasamantala sa mga kilalang kahinaan sa mga Web application tulad ng phpMyAdmin at WordPress upang i-deploy ang open-source na ASPXspy web shell. Ang Web shell na ito ay nagsisilbing gateway para sa pagpapakilala ng mga karagdagang tool sa target na kapaligiran.
Ang pangunahing layunin ng kampanya ay upang ikompromiso ang mga server ng IIS na nagho-host ng mga corporate website. Ginagamit ng mga umaatake ang mga server na ito upang mag-install ng BadIIS malware, na muling ginagamit ang mga ito bilang mga platform para sa mga mapanlinlang na aktibidad, na kadalasang kinasasangkutan ng mga keyword na nauugnay sa pornograpiya at sex.
Ang isang kapansin-pansing tampok ng malware ay ang kakayahan nitong gayahin ang search engine crawler ng Google sa string ng User-Agent nito kapag kumokonekta sa Command-and-Control (C2) server. Tinutulungan ng taktika na ito na maiwasan ang ilang hakbang sa seguridad ng website.
Mga Aktor ng Banta Nakikisali sa Pagmamanipula ng SEO
Ang aktor ng banta ay nagmamanipula ng SEO sa pamamagitan ng pagsasamantala o pagbabago ng mga algorithm ng search engine upang palakasin ang ranggo ng isang website sa mga resulta ng paghahanap. Ginagawa ito upang humimok ng trapiko sa mga mapanlinlang na site, pataasin ang visibility ng mapanlinlang na nilalaman, o guluhin ang mga kakumpitensya sa pamamagitan ng artipisyal na pagpapalaki o pagpapababa ng mga ranggo.
Namumukod-tangi ang DragonRank mula sa iba pang mga Black Hat SEO group dahil sa diskarte nito sa paglabag sa mga karagdagang server sa loob ng network ng target. Pinapanatili nito ang kontrol sa mga server na ito gamit ang PlugX, isang backdoor na karaniwang ginagamit ng mga Chinese threat actor, at iba't ibang tool sa pag-aani ng kredensyal tulad ng Mimikatz , PrintNotifyPotato, BadPotato at GodPotato.
Mga Nakakahamak na Teknik at Online Presence
Ang PlugX malware na ginagamit sa mga pag-atake na ito ay gumagamit ng mga diskarte sa side-loading ng DLL. Ang loader DLL na nagpasimula ng naka-encrypt na payload ay gumagamit ng Windows Structured Exception Handling (SEH) na mekanismo upang matiyak na ang lehitimong file (ibig sabihin, ang binary prone sa DLL side-loading) ay makakapag-load ng PlugX nang hindi nagti-trigger ng anumang mga alerto sa seguridad.
Nakahanap ang mga mananaliksik ng ebidensya na ang aktor ng banta ay nagpapatakbo sa Telegram sa ilalim ng handle na 'tttseo' at sa QQ instant messaging app, kung saan nagsasagawa sila ng mga ilegal na transaksyon sa negosyo sa mga kliyente. Nagbibigay din sila ng tila mataas na kalidad na serbisyo sa customer, na lumilikha ng mga diskarteng pang-promosyon na iniayon sa mga pangangailangan ng kanilang mga kliyente.
Maaaring magsumite ang mga kliyente ng mga keyword at website na gusto nilang i-promote, at nagdidisenyo ang DragonRank ng diskarte batay sa mga detalyeng ito. Nakatuon din ang grupo sa pag-target ng mga promosyon para sa mga partikular na bansa at wika, na nag-aalok ng customized at masusing diskarte sa online marketing.
