BadIIS 惡意軟體

網路安全研究人員發現了一場複雜的SEO投毒活動，據信是由一位使用中文的威脅行為者實施的。此次攻擊主要針對東亞和東南亞，尤其關注越南。該活動與名為BadIIS的惡意軟體有關，追蹤編號為CL-UNK-1037。值得注意的是，此威脅行為者的基礎設施和架構與已識別的Group 9和DragonRank實體有重疊。

SEO 中毒是如何發生的

SEO 投毒是指操縱搜尋引擎結果，誘騙使用者造訪惡意網站（例如賭博或成人內容入口網站），以獲取經濟利益。在此次攻擊活動中，攻擊者利用 IIS 原生模組 BadIIS，從合法但已遭入侵的伺服器提供惡意內容。

BadIIS 功能包括：

• 攔截和修改傳入的 HTTP 流量。
• 將關鍵字和短語注入信譽良好的網站以操縱搜尋引擎排名。
• 使用 User-Agent 標頭標記來自搜尋引擎爬蟲的訪客，並從命令與控制 (C2) 伺服器取得中毒內容。

這種方法使得受感染的網站在目標搜尋字詞中排名靠前，最終將毫無戒心的用戶重新導向到詐騙網站。

攻擊生命週期

SEO 中毒攻擊遵循多個步驟：

建立誘餌：攻擊者將操縱的內容提供給搜尋引擎爬蟲，使受感染的網站看起來與不相關的搜尋字詞相關。

觸發陷阱：搜尋這些術語的受害者會遇到看似合法但實際上已被入侵的網站，這些網站會將受害者重新導向到惡意目的地。

在至少一起已知事件中，攻擊者利用搜尋引擎爬蟲存取權限來升級攻擊，方法是建立新的本機帳戶、部署 Web Shell、洩漏原始碼以及安裝額外的 BadIIS 植入物以實現持久的遠端存取。

使用的工具和變體

威脅行為者使用多種工具和變體來實現 SEO 操縱和流量控制：

• 用於代理惡意內容的輕量級 ASP.NET 頁面處理程序。

所有植入物都經過定制，以控制搜尋引擎結果和流量，展現出高度協調的操作。

歸因和語言證據

研究人員高度確信，這次攻擊活動是由一名使用中文的威脅行為者發起的。以下事實支持此結論：

• 在惡意軟體和基礎設施中發現直接的語言證據。
• 將參與者與第 9 組集群連接起來的架構和操作連結。

重寫操作體現了複雜的威脅行為者如何利用 SEO 中毒、IIS 漏洞和 Web 伺服器漏洞來重定向流量並進行以經濟為目的的攻擊。