BadIIS-Malware
Ein Bedrohungsakteur, der in vereinfachtem Chinesisch kommuniziert, wurde mit einer neuen Kampagne in Verbindung gebracht, die auf Länder in Asien und Europa abzielt. Ziel der Kampagne ist es, Suchmaschinen-Rankings durch SEO-Taktiken zu manipulieren. Diese Black-Hat-SEO-Kampagne, die von Cybersicherheitsforschern DragonRank genannt wird, hat Regionen wie Thailand, Indien, Südkorea, Belgien, die Niederlande und China betroffen.
DragonRank kompromittiert Webanwendungsdienste, um Webshells bereitzustellen, die dann zum Sammeln von Systeminformationen und zum Verteilen von Malware wie PlugX und BadIIS verwendet werden. Diese Angriffe haben zur Kompromittierung von 35 Internet Information Services (IIS)-Servern geführt, mit dem Ziel, letztendlich die im August 2021 erstmals identifizierte BadIIS-Malware zu installieren.
Inhaltsverzeichnis
Angreifer übernehmen kompromittierte IIS-Server
Die Malware ist speziell darauf ausgelegt, Proxyware und SEO-Betrug zu ermöglichen, indem sie den kompromittierten IIS-Server in einen Relaispunkt für betrügerische Kommunikation zwischen Bedrohungsakteuren und ihren Opfern verwandelt. Darüber hinaus kann sie den an Suchmaschinen übermittelten Inhalt ändern, um Algorithmen zu manipulieren und das Ranking der von den Angreifern anvisierten Websites zu verbessern.
Eines der auffälligsten Ergebnisse der Untersuchung ist die Vielseitigkeit der IIS-Malware, insbesondere bei ihrem Einsatz für SEO-Betrug. Diese Malware wird ausgenutzt, um Suchmaschinenalgorithmen zu manipulieren und so die Sichtbarkeit und Reputation von Websites Dritter zu verbessern.
Die jüngsten von den Forschern aufgedeckten Angriffe decken ein breites Branchenspektrum ab, darunter Schmuck, Medien, Forschungsdienste, Gesundheitswesen, Video- und Fernsehproduktion, Fertigung, Transport, religiöse und spirituelle Organisationen, IT-Dienste, internationale Angelegenheiten, Landwirtschaft, Sport und sogar Feng Shui.
Angriffskette wird DragonRank zugeschrieben
Der Angriff beginnt mit der Ausnutzung bekannter Schwachstellen in Webanwendungen wie phpMyAdmin und WordPress, um die Open-Source-Web-Shell ASPXspy einzusetzen. Diese Web-Shell dient dann als Gateway zum Einschleusen zusätzlicher Tools in die Zielumgebung.
Das Hauptziel der Kampagne besteht darin, IIS-Server zu kompromittieren, auf denen Unternehmenswebsites gehostet werden. Die Angreifer nutzen diese Server, um die BadIIS-Malware zu installieren und sie als Plattformen für betrügerische Aktivitäten zu nutzen, bei denen häufig Schlüsselwörter im Zusammenhang mit Pornografie und Sex verwendet werden.
Ein bemerkenswertes Merkmal der Malware ist ihre Fähigkeit, sich bei der Verbindung mit dem Command-and-Control-Server (C2) in ihrem User-Agent-String als Google-Suchmaschinen-Crawler auszugeben. Mit dieser Taktik kann sie einige Website-Sicherheitsmaßnahmen umgehen.
Bedrohungsakteure betreiben SEO-Manipulation
Der Bedrohungsakteur manipuliert SEO, indem er Suchmaschinenalgorithmen ausnutzt oder ändert, um das Ranking einer Website in den Suchergebnissen zu verbessern. Dies geschieht, um den Verkehr auf betrügerische Websites zu lenken, die Sichtbarkeit betrügerischer Inhalte zu erhöhen oder Konkurrenten durch künstliche Aufblähung oder Abwertung der Rankings zu stören.
DragonRank unterscheidet sich von anderen Black Hat SEO-Gruppen durch seinen Ansatz, zusätzliche Server im Netzwerk des Ziels zu infiltrieren. Die Kontrolle über diese Server behält es mithilfe von PlugX, einer Hintertür, die häufig von chinesischen Bedrohungsakteuren verwendet wird, und verschiedenen Tools zum Abgreifen von Anmeldeinformationen wie Mimikatz , PrintNotifyPotato, BadPotato und GodPotato.
Bösartige Techniken und Online-Präsenz
Die bei diesen Angriffen verwendete PlugX-Malware verwendet DLL-Sideloading-Techniken. Die Loader-DLL, die die verschlüsselte Nutzlast initiiert, verwendet den Windows Structured Exception Handling (SEH)-Mechanismus, um sicherzustellen, dass die legitime Datei (d. h. die Binärdatei, die anfällig für DLL-Sideloading ist) PlugX laden kann, ohne Sicherheitswarnungen auszulösen.
Forscher haben Beweise dafür gefunden, dass der Bedrohungsakteur auf Telegram unter dem Namen „tttseo“ und auf der Instant-Messaging-App QQ aktiv ist, wo er illegale Geschäftstransaktionen mit Kunden durchführt. Er bietet auch einen scheinbar hochwertigen Kundenservice und entwickelt Werbestrategien, die auf die Bedürfnisse seiner Kunden zugeschnitten sind.
Kunden können Schlüsselwörter und Websites angeben, die sie bewerben möchten, und DragonRank entwickelt eine Strategie auf Grundlage dieser Angaben. Die Gruppe konzentriert sich auch auf gezielte Werbung für bestimmte Länder und Sprachen und bietet einen maßgeschneiderten und umfassenden Ansatz für Online-Marketing.
