Phần mềm độc hại BadIIS

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch đầu độc SEO tinh vi, được cho là do một tác nhân đe dọa nói tiếng Trung Quốc thực hiện. Các cuộc tấn công chủ yếu nhắm vào khu vực Đông Á và Đông Nam Á, đặc biệt là Việt Nam. Chiến dịch này có liên quan đến phần mềm độc hại có tên BadIIS và được theo dõi dưới tên CL-UNK-1037. Đáng chú ý, tác nhân đe dọa này cho thấy sự trùng lặp về cơ sở hạ tầng và kiến trúc với các thực thể được xác định là Group 9 và DragonRank.

Cách thức hoạt động của SEO Poisoning

Đầu độc SEO liên quan đến việc thao túng kết quả tìm kiếm để lừa người dùng truy cập các trang web bất ngờ hoặc độc hại, chẳng hạn như trang web cờ bạc hoặc nội dung người lớn, nhằm mục đích kiếm lợi nhuận. Trong chiến dịch này, kẻ tấn công khai thác mô-đun IIS gốc, BadIIS, để phục vụ nội dung độc hại từ các máy chủ hợp pháp nhưng đã bị xâm nhập.

Các chức năng của BadIIS bao gồm:

• Chặn và sửa đổi lưu lượng HTTP đến.
• Chèn từ khóa và cụm từ vào các trang web có uy tín để thao túng thứ hạng trên công cụ tìm kiếm.
• Đánh dấu khách truy cập từ trình thu thập thông tin của công cụ tìm kiếm bằng cách sử dụng tiêu đề User-Agent và lấy nội dung độc hại từ máy chủ Command-and-Control (C2).

Cách tiếp cận này cho phép các trang web bị xâm phạm có thứ hạng cao đối với các thuật ngữ tìm kiếm mục tiêu, cuối cùng chuyển hướng người dùng không nghi ngờ đến các trang web lừa đảo.

Vòng đời tấn công

Cuộc tấn công đầu độc SEO diễn ra theo một quy trình gồm nhiều bước:

Tạo mồi nhử : Kẻ tấn công cung cấp nội dung đã bị thao túng cho trình thu thập thông tin của công cụ tìm kiếm, khiến trang web bị xâm phạm có vẻ liên quan đến các thuật ngữ tìm kiếm không liên quan.

Giăng bẫy : Nạn nhân tìm kiếm những thuật ngữ đó sẽ gặp phải các trang web có vẻ hợp pháp nhưng bị xâm phạm, chuyển hướng họ đến các đích đến độc hại.

Trong ít nhất một sự cố đã biết, kẻ tấn công đã lợi dụng quyền truy cập trình thu thập thông tin của công cụ tìm kiếm để leo thang các cuộc tấn công bằng cách tạo tài khoản cục bộ mới, triển khai web shell, đánh cắp mã nguồn và cài đặt thêm BadIIS để truy cập từ xa liên tục.

Công cụ và biến thể được sử dụng

Kẻ tấn công sử dụng nhiều công cụ và biến thể khác nhau để thực hiện thao túng SEO và kiểm soát lưu lượng truy cập:

• Trình xử lý trang ASP.NET nhẹ để chuyển tiếp nội dung độc hại.
• Mô-đun IIS .NET được quản lý để kiểm tra/sửa đổi các yêu cầu và chèn liên kết/từ khóa spam.

• Tập lệnh PHP tất cả trong một kết hợp chuyển hướng người dùng và đầu độc SEO động.

Tất cả các phần cấy ghép đều được tùy chỉnh để kiểm soát kết quả của công cụ tìm kiếm và lưu lượng truy cập, thể hiện hoạt động phối hợp chặt chẽ.

Sự quy kết và bằng chứng ngôn ngữ

Các nhà nghiên cứu rất tin tưởng rằng hoạt động này được thực hiện bởi một tác nhân đe dọa nói tiếng Trung. Kết luận này được hỗ trợ bởi:

• Bằng chứng ngôn ngữ trực tiếp được tìm thấy trong phần mềm độc hại và cơ sở hạ tầng.
• Các liên kết kiến trúc và hoạt động kết nối tác nhân với cụm Nhóm 9.

Chiến dịch Rewrite là ví dụ điển hình về cách các tác nhân đe dọa tinh vi đang lợi dụng việc đầu độc SEO, lỗ hổng IIS và xâm phạm máy chủ web để chuyển hướng lưu lượng truy cập và thực hiện các cuộc tấn công có động cơ tài chính.