Зловмисне програмне забезпечення BadIIS
Зловмисник, який спілкується спрощеною китайською, був пов’язаний з новою кампанією, спрямованою на країни Азії та Європи. Метою кампанії є маніпулювання рейтингом пошукових систем за допомогою тактики SEO. Ця кампанія Black Hat SEO, яку дослідники кібербезпеки назвали DragonRank, вплинула на такі регіони, як Таїланд, Індія, Південна Корея, Бельгія, Нідерланди та Китай.
DragonRank компрометує служби веб-додатків для розгортання веб-оболонок, які потім використовуються для збору системної інформації та доставки шкідливих програм, таких як PlugX і BadIIS. Ці атаки призвели до зламу 35 серверів інформаційних служб Інтернету (IIS), кінцевою метою яких було встановлення зловмисного програмного забезпечення BadIIS, яке вперше виявлено в серпні 2021 року.
Зміст
Зловмисники захоплюють скомпрометовані сервери IIS
Зловмисне програмне забезпечення спеціально розроблено для сприяння шахрайству з проксі-сервером і SEO шляхом перетворення скомпрометованого сервера IIS на ретрансляційну точку для шахрайського зв’язку між суб’єктами загрози та їхніми жертвами. Крім того, він може змінювати вміст, що надається пошуковим системам, щоб маніпулювати алгоритмами та покращувати рейтинг веб-сайтів, на які спрямовані зловмисники.
Одним із найяскравіших висновків розслідування є універсальність зловмисного програмного забезпечення IIS, зокрема його використання для SEO-шахрайства. Це зловмисне програмне забезпечення використовується для маніпулювання алгоритмами пошукових систем, покращуючи видимість і репутацію сторонніх веб-сайтів.
Останні атаки, виявлені дослідниками, охоплюють широкий спектр галузей, включаючи ювелірні вироби, засоби масової інформації, дослідницькі послуги, охорону здоров’я, виробництво відео та телебачення, виробництво, транспорт, релігійні та духовні організації, ІТ-послуги, міжнародні справи, сільське господарство, спорт і навіть фен. шуй.
Ланцюг атак, приписуваний DragonRank
Атака починається з використання відомих уразливостей у веб-додатках, таких як phpMyAdmin і WordPress, для розгортання веб-оболонки ASPXspy з відкритим кодом. Потім ця веб-оболонка служить шлюзом для впровадження додаткових інструментів у цільове середовище.
Основна мета кампанії – зламати сервери IIS, на яких розміщені корпоративні сайти. Зловмисники використовують ці сервери для встановлення зловмисного програмного забезпечення BadIIS, перепрофільовуючи їх як платформи для шахрайських дій, часто використовуючи ключові слова, пов’язані з порнографією та сексом.
Примітною особливістю зловмисного програмного забезпечення є його здатність імітувати сканер пошукової системи Google у рядку User-Agent під час підключення до сервера командування та керування (C2). Ця тактика допомагає йому уникнути деяких заходів безпеки веб-сайту.
Зловмисники беруть участь у маніпуляціях з SEO
Зловмисник маніпулює SEO, використовуючи або змінюючи алгоритми пошукової системи, щоб підвищити рейтинг веб-сайту в результатах пошуку. Це робиться для того, щоб спрямувати трафік на шахрайські сайти, збільшити видимість шахрайського вмісту або завадити конкурентам шляхом штучного завищення чи зниження рейтингу.
DragonRank виділяється з-поміж інших груп Black Hat SEO завдяки своєму підходу до злому додаткових серверів у цільовій мережі. Він підтримує контроль над цими серверами за допомогою PlugX, бекдору, який зазвичай використовують китайські загрозливі особи, і різноманітних інструментів збору облікових даних, таких як Mimikatz , PrintNotifyPotato, BadPotato та GodPotato.
Шкідливі методи та присутність в Інтернеті
Зловмисне програмне забезпечення PlugX, яке використовується в цих атаках, використовує методи бокового завантаження DLL. DLL-завантажувач, який ініціює зашифроване корисне навантаження, використовує механізм Windows Structured Exception Handling (SEH), щоб гарантувати, що легітимний файл (тобто двійковий файл, схильний до стороннього завантаження DLL), може завантажити PlugX без ініціювання будь-яких сповіщень безпеки.
Дослідники знайшли докази того, що зловмисник працює в Telegram під псевдонімом "tttseo" та в додатку обміну миттєвими повідомленнями QQ, де вони здійснюють незаконні ділові операції з клієнтами. Вони також надають, здається, високоякісне обслуговування клієнтів, створюючи рекламні стратегії, адаптовані до потреб своїх клієнтів.
Клієнти можуть надсилати ключові слова та веб-сайти, які вони хочуть рекламувати, а DragonRank розробляє стратегію на основі цих специфікацій. Група також зосереджена на націлюванні рекламних акцій на конкретні країни та мови, пропонуючи індивідуальний та ретельний підхід до онлайн-маркетингу.
