Cybersecurity-onderzoekers vestigen de aandacht op een vergiftigingscampagne voor zoekmachineoptimalisatie (SEO) die waarschijnlijk wordt uitgevoerd door een Chinees sprekende dreigingsacteur met behulp van een malware genaamd Badiis in aanvallen op Oost- en Zuidoost -Azië, vooral met een focus op Vietnam.
De activiteit, nagesynchroniseerd Operatie herschrijvenwordt gevolgd door Palo Alto Networks Unit 42 onder de naam CL-onder-1037, waar “CL” staat voor cluster en “Unk” verwijst naar onbekende motivatie. De dreigingsacteur is gevonden om infrastructuur en architecturale overlappingen te delen met een entiteit die Groep 9 wordt genoemd door ESET en Dragonrank.
“Om SEO -vergiftiging uit te voeren, manipuleren aanvallers de resultaten van zoekmachines om mensen te misleiden om onverwachte of ongewenste websites (bijvoorbeeld gok- en porno -websites) te bezoeken voor financieel gewin,” zei beveiligingsonderzoeker Yoav Zemah. “Deze aanval gebruikte een Malicious Native Internet Information Services (IIS) -module genaamd Badiis.”
Badiis is ontworpen om inkomend HTTP -webverkeer te onderscheppen en te wijzigen met als einddoel van het serveren van kwaadaardige inhoud aan sitebezoekers met legitieme gecompromitteerde servers. Met andere woorden, het idee is om de resultaten van zoekmachines te manipuleren om verkeer te sturen naar een bestemming van hun keuze door zoekwoorden en zinnen te injecteren in legitieme websites die een goede domeinreputatie dragen.
De IIS-module is uitgerust om bezoekers afkomstig van zoekmachine crawlers te markeren door de koptekst van de gebruikersagent in het HTTP-verzoek te inspecteren, zodat deze contact kan opnemen met een externe server om de vergiftigde inhoud op te halen om de SEO te wijzigen en de zoekmachine de zoekmachine te laten indexeren als een relevant resultaat als een relevant resultaat voor de termen die in de commando-en-controle (C2) serverreactie zijn.
Zodra de sites op deze manier zijn vergiftigd, is het enige dat nodig is om het schema te voltooien slachtoffers die op zoek zijn naar die voorwaarden in een zoekmachine en uiteindelijk op de legitieme maar gecompromitteerde site klikken, waardoor ze uiteindelijk naar een zwendelplaats worden omgeleid.
In ten minste één incident onderzocht door eenheid 42, zouden de aanvallers hun toegang tot een crawler van de zoekmachine hebben gebruikt om naar andere systemen te draaien, nieuwe lokale gebruikersaccounts te maken en webshells te laten vallen voor het opzetten van persistente externe toegang, exfiltrerende broncode en het uploaden van badiis -implantaten.
“Het mechanisme bouwt eerst een kunstaas en komt vervolgens de val uit,” zei Unit 42. “Het kunstaas wordt gebouwd door aanvallers die gemanipuleerde inhoud aan zoekmachinecrawlers voeden. Dit maakt de gecompromitteerde website rangschikken voor aanvullende voorwaarden waarmee het anders geen verbinding zou hebben. De gecompromitteerde webserver fungeert vervolgens als een omgekeerde proxy – een intermediaire server die inhoud van andere servers krijgt en het presenteert als zijn eigen.”
Sommige van de andere tools die door de dreigingsacteurs in hun aanvallen worden ingezet, zijn onder meer drie verschillende varianten van Badiis -modules –
- Een lichtgewicht ASP.NET -pagina -handler die hetzelfde doel bereikt van SEO -vergiftiging door kwaadaardige inhoud te proxyen van een externe C2 -server
- Een beheerde .NET IIS -module die elk verzoek kan inspecteren en wijzigen dat de toepassing doorstaat om spam -links en zoekwoorden van een andere C2 -server te injecteren, en
- Een alles-in-één PHP-script dat gebruikersomleiding en dynamische SEO-vergiftiging combineert
“De dreigingsacteur heeft alle implantaten afgestemd op het doel van het manipuleren van de resultaten van zoekmachines en het regelen van de verkeersstroom,” zei Unit 42. “We beoordelen met een hoog vertrouwen dat een Chinees sprekende acteur deze activiteit exploiteert, gebaseerd op direct taalkundig bewijs, evenals infrastructuur en architectuurverbindingen tussen deze acteur en het Cluster van Group 9.”
De openbaarmaking komt weken nadat ESET een eerder niet -gedocumenteerde dreigingscluster heeft gedetailleerd, genaamd Ghostredirector die erin is geslaagd om ten minste 65 Windows -servers in het begin van Brazilië, Thailand en Vietnam te compromitteren met een kwaadwillende IIS -module gecodeerde Gamshen om SEO -fraude te vergemakkelijken.
