BadIIS 恶意软件

一名使用简体中文交流的威胁行为者被指与一项针对亚洲和欧洲国家的新活动有关。该活动的目标是通过 SEO 策略操纵搜索引擎排名。这项黑帽 SEO 活动被网络安全研究人员称为 DragonRank，影响了泰国、印度、韩国、比利时、荷兰和中国等地区。

DragonRank 会入侵 Web 应用服务以部署 Web shell，然后利用这些 shell 收集系统信息并传播PlugX和 BadIIS 等恶意软件。这些攻击已导致 35 台 Internet 信息服务 (IIS) 服务器遭到入侵，最终目的是安装 BadIIS 恶意软件，该恶意软件于 2021 年 8 月首次被发现。

攻击者接管受感染的 IIS 服务器

该恶意软件专门设计用于促进代理软件和 SEO 欺诈，方法是将受感染的 IIS 服务器转换为威胁参与者与受害者之间欺诈通信的中继点。此外，它还可以更改提供给搜索引擎的内容，以操纵算法并提高攻击者所针对网站的排名。

调查中最引人注目的发现之一是 IIS 恶意软件的多功能性，尤其是在 SEO 欺诈方面。这种恶意软件被用来操纵搜索引擎算法，提高第三方网站的知名度和声誉。

研究人员发现的最新攻击涉及广泛的行业，包括珠宝、媒体、研究服务、医疗保健、视频和电视制作、制造、运输、宗教和精神组织、IT 服务、国际事务、农业、体育甚至风水。

归因于 DragonRank 的攻击链

攻击首先利用 phpMyAdmin 和 WordPress 等 Web 应用程序中的已知漏洞来部署开源 ASPXspy Web Shell。然后，此 Web Shell 充当将其他工具引入目标环境的网关。

该活动的主要目标是入侵托管企业网站的 IIS 服务器。攻击者利用这些服务器安装 BadIIS 恶意软件，将其重新用作欺诈活动的平台，通常涉及与色情和性相关的关键词。

该恶意软件的一个显著特点是，当连接到命令和控制 (C2) 服务器时，它能够在其用户代理字符串中模拟 Google 的搜索引擎爬虫。这种策略有助于它逃避一些网站安全措施。

威胁行为者参与 SEO 操纵

威胁者通过利用或改变搜索引擎算法来操纵 SEO，以提高网站在搜索结果中的排名。这样做是为了将流量引向欺诈网站，增加欺诈内容的曝光度，或通过人为地提高或降低排名来扰乱竞争对手。

DragonRank 与其他黑帽 SEO 组织相比，脱颖而出的原因是其入侵目标网络内其他服务器的方法。它使用 PlugX（中国威胁行为者常用的后门）和各种凭证收集工具（如Mimikatz 、PrintNotifyPotato、BadPotato 和 GodPotato）来控制这些服务器。

恶意技术和在线状态

这些攻击中使用的 PlugX 恶意软件采用了 DLL 侧载技术。启动加密负载的加载程序 DLL 利用 Windows 结构化异常处理 (SEH) 机制来确保合法文件（即易于进行 DLL 侧载的二进制文件）可以加载 PlugX 而不会触发任何安全警报。

研究人员发现，威胁行为者在 Telegram 上使用“tttseo”用户名，并在 QQ 即时通讯应用程序上与客户进行非法商业交易。他们还提供看似高质量的客户服务，根据客户的需求制定促销策略。

客户可以提交他们想要推广的关键词和网站，DragonRank 会根据这些规范设计策略。该集团还专注于针对特定国家和语言进行有针对性的推广，提供定制化、全面的在线营销方法。