Phần mềm độc hại BadIIS
Một tác nhân đe dọa giao tiếp bằng tiếng Trung giản thể đã được liên kết với một chiến dịch mới nhắm vào các quốc gia trên khắp Châu Á và Châu Âu. Mục tiêu của chiến dịch là thao túng thứ hạng của công cụ tìm kiếm thông qua các chiến thuật SEO. Chiến dịch SEO Black Hat này, được các nhà nghiên cứu an ninh mạng gọi là DragonRank, đã tác động đến các khu vực bao gồm Thái Lan, Ấn Độ, Hàn Quốc, Bỉ, Hà Lan và Trung Quốc.
DragonRank xâm phạm các dịch vụ ứng dụng Web để triển khai Web shell, sau đó được sử dụng để thu thập thông tin hệ thống và phân phối phần mềm độc hại như PlugX và BadIIS. Các cuộc tấn công này đã dẫn đến việc xâm phạm 35 máy chủ Dịch vụ thông tin Internet (IIS), cuối cùng nhằm mục đích cài đặt phần mềm độc hại BadIIS, lần đầu tiên được xác định vào tháng 8 năm 2021.
Mục lục
Kẻ tấn công chiếm quyền điều khiển máy chủ IIS bị xâm phạm
Phần mềm độc hại được thiết kế đặc biệt để tạo điều kiện cho phần mềm proxy và gian lận SEO bằng cách chuyển đổi máy chủ IIS bị xâm nhập thành điểm chuyển tiếp cho các giao tiếp gian lận giữa các tác nhân đe dọa và nạn nhân của chúng. Ngoài ra, nó có thể thay đổi nội dung được cung cấp cho các công cụ tìm kiếm để thao túng các thuật toán và cải thiện thứ hạng của các trang web mà kẻ tấn công nhắm tới.
Một trong những phát hiện nổi bật nhất của cuộc điều tra là tính linh hoạt của phần mềm độc hại IIS, đặc biệt là trong việc sử dụng để gian lận SEO. Phần mềm độc hại này được khai thác để thao túng các thuật toán của công cụ tìm kiếm, nâng cao khả năng hiển thị và danh tiếng của các trang web của bên thứ ba.
Các cuộc tấn công gần đây nhất được các nhà nghiên cứu phát hiện liên quan đến nhiều ngành công nghiệp, bao gồm đồ trang sức, phương tiện truyền thông, dịch vụ nghiên cứu, chăm sóc sức khỏe, sản xuất video và truyền hình, sản xuất, vận tải, tổ chức tôn giáo và tâm linh, dịch vụ CNTT, quan hệ quốc tế, nông nghiệp, thể thao và thậm chí cả phong thủy.
Chuỗi tấn công được quy cho DragonRank
Cuộc tấn công bắt đầu bằng cách khai thác các lỗ hổng đã biết trong các ứng dụng Web như phpMyAdmin và WordPress để triển khai web shell ASPXspy mã nguồn mở. Web shell này sau đó đóng vai trò là cổng để đưa các công cụ bổ sung vào môi trường mục tiêu.
Mục tiêu chính của chiến dịch là xâm nhập các máy chủ IIS lưu trữ các trang web của công ty. Những kẻ tấn công sử dụng các máy chủ này để cài đặt phần mềm độc hại BadIIS, biến chúng thành nền tảng cho các hoạt động gian lận, thường liên quan đến các từ khóa liên quan đến khiêu dâm và tình dục.
Một tính năng đáng chú ý của phần mềm độc hại là khả năng mạo danh trình thu thập thông tin của công cụ tìm kiếm Google trong chuỗi User-Agent khi kết nối với máy chủ Command-and-Control (C2). Chiến thuật này giúp nó tránh được một số biện pháp bảo mật của trang web.
Các tác nhân đe dọa tham gia vào việc thao túng SEO
Kẻ tấn công thao túng SEO bằng cách khai thác hoặc thay đổi thuật toán của công cụ tìm kiếm để tăng thứ hạng của trang web trong kết quả tìm kiếm. Điều này được thực hiện để hướng lưu lượng truy cập đến các trang web gian lận, tăng khả năng hiển thị nội dung gian lận hoặc phá vỡ đối thủ cạnh tranh bằng cách làm tăng hoặc giảm thứ hạng một cách giả tạo.
DragonRank nổi bật so với các nhóm Black Hat SEO khác do cách tiếp cận của nó là xâm phạm các máy chủ bổ sung trong mạng của mục tiêu. Nó duy trì quyền kiểm soát các máy chủ này bằng PlugX, một cửa hậu thường được các tác nhân đe dọa Trung Quốc sử dụng và nhiều công cụ thu thập thông tin xác thực như Mimikatz , PrintNotifyPotato, BadPotato và GodPotato.
Kỹ thuật độc hại và sự hiện diện trực tuyến
Phần mềm độc hại PlugX được sử dụng trong các cuộc tấn công này sử dụng các kỹ thuật tải phụ DLL. Trình tải DLL khởi tạo tải trọng được mã hóa sử dụng cơ chế Xử lý ngoại lệ có cấu trúc của Windows (SEH) để đảm bảo tệp hợp lệ (tức là tệp nhị phân dễ bị tải phụ DLL) có thể tải PlugX mà không kích hoạt bất kỳ cảnh báo bảo mật nào.
Các nhà nghiên cứu đã tìm thấy bằng chứng cho thấy tác nhân đe dọa này hoạt động trên Telegram dưới tên 'tttseo' và trên ứng dụng nhắn tin tức thời QQ, nơi chúng thực hiện các giao dịch kinh doanh bất hợp pháp với khách hàng. Chúng cũng cung cấp những gì có vẻ là dịch vụ khách hàng chất lượng cao, tạo ra các chiến lược quảng cáo phù hợp với nhu cầu của khách hàng.
Khách hàng có thể gửi từ khóa và trang web họ muốn quảng bá và DragonRank thiết kế chiến lược dựa trên các thông số kỹ thuật này. Nhóm cũng tập trung vào việc nhắm mục tiêu quảng cáo cho các quốc gia và ngôn ngữ cụ thể, cung cấp phương pháp tiếp cận tùy chỉnh và toàn diện cho tiếp thị trực tuyến.
