Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Malware BadIIS-Malware

BadIIS-Malware

Von Mezo in Malware
Übersetzen Sie in:

Cybersicherheitsforscher haben eine ausgeklügelte SEO-Poisoning-Kampagne aufgedeckt, die vermutlich von einem chinesischsprachigen Angreifer durchgeführt wird. Die Angriffe zielen vor allem auf Ost- und Südostasien, insbesondere Vietnam, ab. Die Kampagne steht im Zusammenhang mit der Schadsoftware BadIIS und wird unter dem Namen CL-UNK-1037 verfolgt. Bemerkenswert ist, dass der Angreifer infrastrukturelle und architektonische Überschneidungen mit Entitäten aufweist, die als Group 9 und DragonRank identifiziert wurden.

So funktioniert SEO-Poisoning

Beim SEO-Poisoning werden Suchmaschinenergebnisse manipuliert, um Nutzer dazu zu verleiten, unerwartete oder bösartige Websites wie Glücksspiel- oder Erwachsenenportale zu besuchen und so finanzielle Gewinne zu erzielen. Bei dieser Kampagne nutzen die Angreifer ein natives IIS-Modul namens BadIIS aus, um bösartige Inhalte von legitimen, aber kompromittierten Servern bereitzustellen.

Zu den BadIIS-Funktionen gehören:

  • Abfangen und Ändern des eingehenden HTTP-Verkehrs.
  • Einfügen von Schlüsselwörtern und Ausdrücken in seriöse Websites, um das Ranking in Suchmaschinen zu manipulieren.
  • Markieren von Besuchern durch Suchmaschinen-Crawler mithilfe des User-Agent-Headers und Abrufen von vergifteten Inhalten von einem Command-and-Control-Server (C2).

Durch diesen Ansatz können kompromittierte Websites bei gezielten Suchbegriffen ein hohes Ranking erzielen und ahnungslose Benutzer letztlich auf Betrugsseiten umleiten.

Der Angriffslebenszyklus

Der SEO-Poisoning-Angriff folgt einem mehrstufigen Prozess:

Den Köder bauen : Angreifer füttern die Crawler der Suchmaschinen mit manipulierten Inhalten, sodass die kompromittierte Website für nicht verwandte Suchbegriffe relevant erscheint.

Die Falle zuschnappen lassen : Opfer, die nach diesen Begriffen suchen, stoßen auf legitim aussehende, aber kompromittierte Websites, die sie auf bösartige Ziele umleiten.

Bei mindestens einem bekannten Vorfall nutzten Angreifer den Zugriff von Suchmaschinen-Crawlern, um ihre Angriffe zu eskalieren, indem sie neue lokale Konten erstellten, Web-Shells einsetzten, Quellcode exfiltrierten und zusätzliche BadIIS-Implantate für dauerhaften Fernzugriff installierten.

Verwendete Werkzeuge und Varianten

Der Bedrohungsakteur verwendet mehrere Tools und Varianten, um SEO-Manipulationen und Verkehrskontrolle zu erreichen:

  • Leichtgewichtiger ASP.NET-Seitenhandler zum Proxying schädlicher Inhalte.
  • Verwaltetes .NET IIS-Modul zum Überprüfen/Ändern von Anfragen und Einfügen von Spam-Links/Schlüsselwörtern.
  • All-in-One-PHP-Skript, das Benutzerumleitung und dynamisches SEO-Poisoning kombiniert.

    • Alle Implantate sind individuell angepasst, um die Ergebnisse von Suchmaschinen und den Datenverkehr zu steuern, was auf eine hochgradig koordinierte Funktionsweise hindeutet.

    Zuschreibung und sprachliche Beweise

    Forscher sind davon überzeugt, dass diese Aktivität von einem chinesischsprachigen Bedrohungsakteur durchgeführt wird. Diese Schlussfolgerung wird durch folgende Punkte gestützt:

    • Direkte sprachliche Beweise in der Malware und Infrastruktur gefunden.
    • Architektonische und betriebliche Verbindungen, die den Akteur mit dem Cluster der Gruppe 9 verbinden.

    Operation Rewrite ist ein Beispiel dafür, wie raffinierte Bedrohungsakteure SEO-Poisoning, IIS-Schwachstellen und die Kompromittierung von Webservern ausnutzen, um den Datenverkehr umzuleiten und finanziell motivierte Angriffe durchzuführen.

    Im Trend

    Am häufigsten gesehen

    Wird geladen...