BadIIS 惡意軟體

一名使用簡體中文進行交流的威脅行為者與針對亞洲和歐洲國家的一項新活動有關。活動的目標是透過 SEO 策略操縱搜尋引擎排名。這項被網路安全研究人員稱為 DragonRank 的黑帽 SEO 活動已經影響了泰國、印度、韓國、比利時、荷蘭和中國等地區。

DragonRank 破壞 Web 應用程式服務來部署 Web shell，然後使用 Web shell 收集系統資訊並傳播PlugX和 BadIIS 等惡意軟體。這些攻擊導致 35 台網路資訊服務 (IIS) 伺服器遭到入侵，最終目的是安裝 BadIIS 惡意軟體，該惡意軟體於 2021 年 8 月首次發現。

攻擊者接管受損的 IIS 伺服器

該惡意軟體專門設計用於透過將受感染的 IIS 伺服器轉換為威脅行為者與其受害者之間的詐騙通訊的中繼點，從而促進代理軟體和 SEO 詐欺。此外，它還可以更改提供給搜尋引擎的內容以操縱演算法並提高攻擊者所針對的網站的排名。

該調查最引人注目的發現之一是 IIS 惡意軟體的多功能性，特別是在用於 SEO 詐欺方面。該惡意軟體被用來操縱搜尋引擎演算法，從而提高第三方網站的知名度和聲譽。

研究人員最近發現的攻擊涵蓋了廣泛的行業，包括珠寶、媒體、研究服務、醫療保健、視訊和電視製作、製造、交通、宗教和精神組織、IT 服務、國際事務、農業、體育甚至馮水。

DragonRank 的攻擊鏈

此攻擊首先利用 phpMyAdmin 和 WordPress 等 Web 應用程式中的已知漏洞來部署開源 ASPXspy Web shell。然後，該 Web shell 充當將其他工具引入目標環境的閘道。

活動的主要目標是破壞託管企業網站的 IIS 伺服器。攻擊者使用這些伺服器安裝 BadIIS 惡意軟體，將其重新用作詐騙活動的平台，通常涉及與色情和性相關的關鍵字。

該惡意軟體的一個顯著特徵是，當連接到命令與控制 (C2) 伺服器時，它能夠在其用戶代理字串中模擬 Google 的搜尋引擎爬蟲。這種策略有助於它規避一些網站安全措施。

威脅行為者參與 SEO 操縱

威脅行為者透過利用或改變搜尋引擎演算法來操縱 SEO，以提高網站在搜尋結果中的排名。這樣做是為了增加詐騙網站的流量，提高詐騙內容的可見度，或透過人為地提高或降低排名來擾亂競爭對手。

DragonRank 因其破壞目標網路內其他伺服器的方法而從其他黑帽 SEO 組織中脫穎而出。它使用 PlugX（中國威脅行為者常用的後門）以及Mimikatz 、PrintNotifyPotato、BadPotato 和 GodPotato 等各種憑證收集工具來維持對這些伺服器的控制。

惡意技術和線上存在

這些攻擊中使用的 PlugX 惡意軟體採用了 DLL 側載技術。啟動加密有效負載的載入程式 DLL 利用 Windows 結構化例外處理 (SEH) 機制來確保合法檔案（即易於 DLL 側面載入的二進位檔案）可以載入 PlugX，而不會觸發任何安全性警報。

研究人員發現，有證據表明，威脅行為者以「tttseo」為句柄在 Telegram 和 QQ 即時通訊應用程式上進行操作，與客戶進行非法商業交易。他們還提供看似高品質的客戶服務，根據客戶的需求制定促銷策略。

客戶可以提交他們想要推廣的關鍵字和網站，DragonRank根據這些規格設計策略。該集團還專注於針對特定國家和語言的促銷活動，提供客製化且全面的線上行銷方法。