Çoklu Lisans İndirim Teklifi
Tehdit Veritabanı Kötü amaçlı yazılım BadIIS Kötü Amaçlı Yazılım

BadIIS Kötü Amaçlı Yazılım

Mezo'de Kötü amaçlı yazılım'de
Çevir:

Siber güvenlik araştırmacıları, Çince konuşan bir tehdit aktörü tarafından gerçekleştirildiğine inanılan karmaşık bir SEO zehirleme kampanyasını ortaya çıkardı. Saldırılar öncelikli olarak Doğu ve Güneydoğu Asya'yı, özellikle de Vietnam'ı hedef alıyor. Bu kampanya, BadIIS adlı kötü amaçlı yazılımla ilişkilendiriliyor ve CL-UNK-1037 adıyla takip ediliyor. Tehdit aktörü, özellikle Group 9 ve DragonRank olarak tanımlanan kuruluşlarla altyapı ve mimari örtüşmeleri gösteriyor.

SEO Zehirlenmesi Nasıl Çalışır?

SEO zehirlenmesi, kullanıcıları kumar veya yetişkinlere yönelik içerik portalları gibi beklenmedik veya kötü amaçlı web sitelerini ziyaret etmeye ikna etmek için arama motoru sonuçlarını manipüle etmeyi ve böylece maddi kazanç elde etmeyi içerir. Bu saldırıda, saldırganlar, meşru ancak güvenliği ihlal edilmiş sunuculardan kötü amaçlı içerik sunmak için yerel bir IIS modülü olan BadIIS'i kullanır.

BadIIS işlevleri şunları içerir:

  • Gelen HTTP trafiğini yakalamak ve değiştirmek.
  • Arama motoru sıralamalarını manipüle etmek için saygın web sitelerine anahtar kelimeler ve ifadeler enjekte etmek.
  • Kullanıcı Aracısı başlığını kullanarak arama motoru tarayıcılarından ziyaretçileri işaretlemek ve Komuta ve Kontrol (C2) sunucusundan zehirli içerik getirmek.

Bu yaklaşım, tehlikeye atılan web sitelerinin hedeflenen arama terimleri için üst sıralarda yer almasına olanak tanır ve sonuç olarak şüphelenmeyen kullanıcıları dolandırıcılık sitelerine yönlendirir.

Saldırı Yaşam Döngüsü

SEO zehirleme saldırısı çok aşamalı bir süreci takip eder:

Tuzak oluşturma : Saldırganlar, arama motoru tarayıcılarına manipüle edilmiş içerikler göndererek, tehlikeye atılmış web sitesinin alakasız arama terimleri için de alakalı görünmesini sağlar.

Tuzak kurmak : Bu terimleri arayan kurbanlar, meşru görünen ancak güvenliği ihlal edilmiş sitelerle karşılaşıyor ve bu siteler onları kötü amaçlı hedeflere yönlendiriyor.

Bilinen en az bir olayda saldırganlar, yeni yerel hesaplar oluşturarak, web kabukları dağıtarak, kaynak kodunu sızdırarak ve kalıcı uzaktan erişim için ek BadIIS implantları yükleyerek saldırıları artırmak için arama motoru tarayıcısının erişiminden yararlandı.

Kullanılan Araçlar ve Çeşitleri

Tehdit aktörü, SEO manipülasyonu ve trafik kontrolü sağlamak için birden fazla araç ve varyant kullanır:

  • Kötü amaçlı içeriğin proxy'lenmesi için hafif ASP.NET sayfa işleyicisi.
  • İstekleri denetlemek/değiştirmek ve spam bağlantıları/anahtar kelimeleri eklemek için yönetilen .NET IIS modülü.
  • Kullanıcı yönlendirme ve dinamik SEO zehirlenmesini birleştiren hepsi bir arada PHP betiği.

Tüm implantlar arama motoru sonuçlarını ve trafik akışını kontrol edecek şekilde özelleştirilmiş olup, son derece koordineli bir çalışma göstermektedir.

Atıf ve Dilbilimsel Kanıt

Araştırmacılar, bu faaliyetin Çince konuşan bir tehdit unsuru tarafından gerçekleştirildiğine dair yüksek bir güvene sahipler. Bu sonucu destekleyen faktörler:

  • Kötü amaçlı yazılımda ve altyapıda doğrudan dilsel kanıt bulundu.
  • Aktörü Grup 9 kümesine bağlayan mimari ve operasyonel bağlantılar.

Yeniden Yazma Operasyonu, karmaşık tehdit aktörlerinin SEO zehirlenmesini, IIS güvenlik açıklarını ve web sunucusu ihlallerini kullanarak trafiği nasıl yönlendirdiğini ve finansal amaçlı saldırılar gerçekleştirdiğini örnekliyor.

trend

American Express - Anlaşmazlıklı İşlem E-posta...

Kimlik avı, İstenmeyen e-posta
Siber güvenlik araştırmacıları, "American Express - Anlaşmazlıklı İşlem" e-posta dolandırıcılığı olarak bilinen sahte mesajlar dağıtan kötü amaçlı bir kampanya tespit etti. Bu mesajlar American Express'ten geliyormuş gibi görünse de aslında tamamen sahte. Dolandırıcılığın amacı, alıcıları bir kimlik avı web sitesini ziyaret etmeye ve çevrimiçi bankacılık bilgileri gibi hassas bilgileri ele...

En çok görüntülenen

Yükleniyor...