Шкідливе програмне забезпечення BadIIS
Дослідники з кібербезпеки виявили складну кампанію з отруєння SEO, яку, як вважається, здійснив китайськомовний зловмисник. Атаки в основному спрямовані на Східну та Південно-Східну Азію, з особливим акцентом на В'єтнам. Ця кампанія пов'язана зі шкідливим програмним забезпеченням під назвою BadIIS та відстежується під назвою CL-UNK-1037. Примітно, що зловмисник демонструє інфраструктурні та архітектурні збіги з організаціями, ідентифікованими як Group 9 та DragonRank.
Зміст
Як працює SEO-отруєння
SEO-отравлення передбачає маніпулювання результатами пошукової системи, щоб обманом змусити користувачів відвідувати неочікувані або шкідливі веб-сайти, такі як азартні ігри або портали контенту для дорослих, з метою отримання фінансової вигоди. У цій кампанії зловмисники використовують власний модуль IIS, BadIIS, для розповсюдження шкідливого контенту з легітимних, але скомпрометованих серверів.
Функції BadIIS включають:
- Перехоплення та зміна вхідного HTTP-трафіку.
- Впровадження ключових слів та фраз на авторитетні веб-сайти для маніпулювання рейтингом у пошукових системах.
- Позначення відвідувачів пошуковими роботами за допомогою заголовка User-Agent та отримання шкідливого контенту з сервера Command-and-Control (C2).
Такий підхід дозволяє скомпрометованим веб-сайтам займати високі позиції за цільовими пошуковими запитами, зрештою перенаправляючи нічого не підозрюючих користувачів на шахрайські сайти.
Життєвий цикл атаки
Атака SEO-отруєння відбувається у кілька етапів:
Створення приманки : Зловмисники передають маніпульований контент пошуковим роботам, роблячи скомпрометований вебсайт релевантним для нерелевантних пошукових запитів.
Розкриття пастки : жертви, які шукають ці терміни, стикаються з сайтами, що виглядають законно, але є шкідливими, що перенаправляють їх на шкідливі сайти.
Принаймні в одному відомому інциденті зловмисники використовували доступ пошукових роботів для ескалації атак, створюючи нові локальні облікові записи, розгортаючи веб-оболочки, викрадаючи вихідний код та встановлюючи додаткові імплантати BadIIS для постійного віддаленого доступу.
Використані інструменти та варіанти
Зловмисник використовує численні інструменти та варіанти для маніпуляцій SEO та контролю трафіку:
- Легкий обробник сторінок ASP.NET для проксі-передачі шкідливого контенту.
Усі імплантати налаштовані для контролю результатів пошукових систем та потоку трафіку, демонструючи високо скоординовану роботу.
Атрибуція та лінгвістичні докази
Дослідники мають високу впевненість у тому, що цю діяльність здійснює китайськомовний зловмисник. Цей висновок підтверджується:
- Прямі лінгвістичні докази, знайдені у шкідливому програмному забезпеченні та інфраструктурі.
- Архітектурні та операційні зв'язки, що з'єднують актора з кластером Group 9.
Операція «Перезапис» є прикладом того, як витончені зловмисники використовують отруєння SEO, вразливості IIS та компрометацію веб-серверів для перенаправлення трафіку та проведення атак з фінансовою мотивацією.
