BadIIS Kötü Amaçlı Yazılım
Basitleştirilmiş Çince iletişim kuran bir tehdit aktörü, Asya ve Avrupa'daki ülkeleri hedef alan yeni bir kampanyayla ilişkilendirildi. Kampanyanın amacı, SEO taktikleri aracılığıyla arama motoru sıralamalarını manipüle etmektir. Siber güvenlik araştırmacıları tarafından DragonRank olarak adlandırılan bu Black Hat SEO kampanyası, Tayland, Hindistan, Güney Kore, Belçika, Hollanda ve Çin gibi bölgeleri etkiledi.
DragonRank, daha sonra sistem bilgilerini toplamak ve PlugX ve BadIIS gibi kötü amaçlı yazılımları iletmek için kullanılan Web kabuklarını dağıtmak için Web uygulama hizmetlerini tehlikeye atar. Bu saldırılar, nihayetinde ilk olarak Ağustos 2021'de tanımlanan BadIIS kötü amaçlı yazılımını yüklemeyi amaçlayan 35 İnternet Bilgi Hizmetleri (IIS) sunucusunun tehlikeye atılmasına yol açtı.
İçindekiler
Saldırganlar Tehlikeye Atılan IIS Sunucularını Ele Geçiriyor
Kötü amaçlı yazılım, tehdit aktörleri ile kurbanları arasındaki hileli iletişimler için bir aktarma noktasına dönüştürülen tehlikeye atılmış IIS sunucusunu dönüştürerek proxy yazılımlarını ve SEO dolandırıcılığını kolaylaştırmak için özel olarak tasarlanmıştır. Ayrıca, algoritmaları manipüle etmek ve saldırganların hedef aldığı web sitelerinin sıralamalarını iyileştirmek için arama motorlarına sunulan içeriği değiştirebilir.
Soruşturmanın en çarpıcı bulgularından biri, IIS kötü amaçlı yazılımının, özellikle SEO dolandırıcılığı için kullanımındaki çok yönlülüğüdür. Bu kötü amaçlı yazılım, üçüncü taraf web sitelerinin görünürlüğünü ve itibarını artırarak arama motoru algoritmalarını manipüle etmek için kullanılır.
Araştırmacılar tarafından ortaya çıkarılan en son saldırılar, mücevher, medya, araştırma hizmetleri, sağlık, video ve televizyon prodüksiyonu, imalat, ulaştırma, dini ve manevi kuruluşlar, BT hizmetleri, uluslararası ilişkiler, tarım, spor ve hatta feng shui dahil olmak üzere çok çeşitli sektörleri kapsıyor.
DragonRank'a Atfedilen Saldırı Zinciri
Saldırı, phpMyAdmin ve WordPress gibi Web uygulamalarındaki bilinen güvenlik açıklarını kullanarak açık kaynaklı ASPXspy web kabuğunu dağıtmakla başlar. Bu Web kabuğu daha sonra hedef ortama ek araçlar tanıtmak için bir ağ geçidi görevi görür.
Kampanyanın asıl amacı, kurumsal web sitelerini barındıran IIS sunucularını tehlikeye atmaktır. Saldırganlar bu sunucuları BadIIS kötü amaçlı yazılımlarını yüklemek için kullanır ve bunları genellikle pornografi ve seksle ilgili anahtar sözcükler içeren dolandırıcılık faaliyetleri için platformlar olarak yeniden kullanır.
Kötü amaçlı yazılımın dikkat çekici bir özelliği, Command-and-Control (C2) sunucusuna bağlanırken User-Agent dizesinde Google'ın arama motoru tarayıcısını taklit etme yeteneğidir. Bu taktik, bazı web sitesi güvenlik önlemlerinden kaçınmasına yardımcı olur.
Tehdit Aktörleri SEO Manipülasyonuna Girişiyor
Tehdit aktörü, bir web sitesinin arama sonuçlarındaki sıralamasını yükseltmek için arama motoru algoritmalarını istismar ederek veya değiştirerek SEO'yu manipüle eder. Bu, sahte sitelere trafik çekmek, sahte içeriklerin görünürlüğünü artırmak veya sıralamaları yapay olarak şişirerek veya düşürerek rakipleri engellemek için yapılır.
DragonRank, hedefin ağındaki ek sunuculara sızma yaklaşımı nedeniyle diğer Black Hat SEO gruplarından sıyrılıyor. Çinli tehdit aktörleri tarafından yaygın olarak kullanılan bir arka kapı olan PlugX ve Mimikatz , PrintNotifyPotato, BadPotato ve GodPotato gibi çeşitli kimlik bilgisi toplama araçlarını kullanarak bu sunucular üzerinde kontrol sağlıyor.
Kötü Niyetli Teknikler ve Çevrimiçi Varlık
Bu saldırılarda kullanılan PlugX kötü amaçlı yazılımı DLL yan yükleme tekniklerini kullanır. Şifrelenmiş yükü başlatan yükleyici DLL, meşru dosyanın (yani DLL yan yüklemesine yatkın ikili dosyanın) herhangi bir güvenlik uyarısı tetiklemeden PlugX'i yükleyebilmesini sağlamak için Windows Yapılandırılmış İstisna İşleme (SEH) mekanizmasını kullanır.
Araştırmacılar, tehdit aktörünün Telegram'da 'tttseo' takma adıyla ve müşterilerle yasadışı ticari işlemler gerçekleştirdikleri QQ anlık mesajlaşma uygulamasında faaliyet gösterdiğine dair kanıtlar buldular. Ayrıca, müşterilerinin ihtiyaçlarına göre uyarlanmış promosyon stratejileri oluşturarak yüksek kaliteli müşteri hizmeti gibi görünen bir hizmet sağlıyorlar.
Müşteriler tanıtmak istedikleri anahtar kelimeleri ve web sitelerini gönderebilir ve DragonRank bu özelliklere dayalı bir strateji tasarlar. Grup ayrıca belirli ülkeler ve diller için promosyonları hedeflemeye odaklanarak çevrimiçi pazarlamaya özelleştirilmiş ve kapsamlı bir yaklaşım sunar.
