BadIIS 恶意软件

网络安全研究人员发现了一场复杂的SEO投毒活动，据信是由一名使用中文的威胁行为者实施的。此次攻击主要针对东亚和东南亚，尤其关注越南。该活动与名为BadIIS的恶意软件有关，追踪编号为CL-UNK-1037。值得注意的是，该威胁行为者的基础设施和架构与已识别的Group 9和DragonRank实体存在重叠。

SEO 中毒是如何发生的

SEO 投毒是指操纵搜索引擎结果，诱骗用户访问恶意网站（例如赌博或成人内容门户网站），以获取经济利益。在此次攻击活动中，攻击者利用 IIS 原生模块 BadIIS，从合法但已被入侵的服务器提供恶意内容。

BadIIS 功能包括：

• 拦截和修改传入的 HTTP 流量。
• 将关键字和短语注入信誉良好的网站以操纵搜索引擎排名。
• 使用 User-Agent 标头标记来自搜索引擎爬虫的访问者，并从命令和控制 (C2) 服务器获取中毒内容。

这种方法使得受感染的网站在目标搜索词中排名靠前，最终将毫无戒心的用户重定向到诈骗网站。

攻击生命周期

SEO 中毒攻击遵循多个步骤：

构建诱饵：攻击者将操纵的内容提供给搜索引擎爬虫，使受感染的网站看起来与不相关的搜索词相关。

触发陷阱：搜索这些术语的受害者会遇到看似合法但实际上已被入侵的网站，这些网站会将受害者重定向到恶意目的地。

在至少一起已知事件中，攻击者利用搜索引擎爬虫访问权限来升级攻击，方法是创建新的本地帐户、部署 Web Shell、泄露源代码以及安装额外的 BadIIS 植入物以实现持久的远程访问。

使用的工具和变体

威胁行为者使用多种工具和变体来实现 SEO 操纵和流量控制：

• 用于代理恶意内容的轻量级 ASP.NET 页面处理程序。

所有植入物都经过定制，以控制搜索引擎结果和流量，展现出高度协调的操作。

归因和语言证据

研究人员高度确信，此次攻击活动是由一名使用中文的威胁行为者发起的。以下事实支持这一结论：

• 在恶意软件和基础设施中发现直接的语言证据。
• 将参与者与第 9 组集群连接起来的架构和操作链接。

重写操作体现了复杂的威胁行为者如何利用 SEO 中毒、IIS 漏洞和 Web 服务器漏洞来重定向流量并进行以经济为目的的攻击。