BadIISマルウェア
サイバーセキュリティ研究者は、中国語圏の脅威アクターによって実行されたと考えられる、高度なSEOポイズニングキャンペーンを発見しました。攻撃は主に東アジアおよび東南アジアを標的としており、特にベトナムが標的となっています。このキャンペーンはBadIISと呼ばれるマルウェアと関連しており、CL-UNK-1037という名前で追跡されています。注目すべきは、この脅威アクターのインフラストラクチャとアーキテクチャが、Group 9およびDragonRankとして特定されている組織と重複していることです。
目次
SEOポイズニングの仕組み
SEOポイズニングとは、検索エンジンの検索結果を操作し、ギャンブルやアダルトコンテンツポータルなど、予期せぬウェブサイトや悪意のあるウェブサイトにユーザーを誘導して金銭的利益を得る行為です。この攻撃では、攻撃者はネイティブIISモジュールであるBadIISを悪用し、正規のサーバーから悪意のあるコンテンツを提供します。
BadIIS の機能には次のものがあります:
- 着信 HTTP トラフィックを傍受して変更します。
- 評判の良い Web サイトにキーワードやフレーズを挿入して、検索エンジンのランキングを操作する。
- User-Agent ヘッダーを使用して検索エンジン クローラーから訪問者をフラグ付けし、コマンド アンド コントロール (C2) サーバーから汚染されたコンテンツを取得します。
このアプローチにより、侵害された Web サイトは対象となる検索用語で上位にランクされ、最終的には疑いを持たないユーザーを詐欺サイトにリダイレクトできるようになります。
攻撃ライフサイクル
SEO ポイズニング攻撃は、複数のステップから成るプロセスに従います。
ルアーの作成: 攻撃者は操作されたコンテンツを検索エンジンのクローラーにフィードし、侵害された Web サイトが無関係な検索用語に関連しているように見せかけます。
罠を仕掛ける: これらの用語を検索する被害者は、正当に見えるが侵害されたサイトに遭遇し、悪意のある宛先にリダイレクトされます。
少なくとも 1 件の既知のインシデントでは、攻撃者は検索エンジン クローラー アクセスを利用して、新しいローカル アカウントを作成し、Web シェルを展開し、ソース コードを盗み出し、永続的なリモート アクセスのために追加の BadIIS インプラントをインストールすることで、攻撃をエスカレートしました。
使用されるツールとバリエーション
脅威アクターは、SEO 操作とトラフィック制御を実現するために、複数のツールと亜種を採用しています。
- 悪意のあるコンテンツをプロキシするための軽量 ASP.NET ページ ハンドラー。
すべてのインプラントは、検索エンジンの結果とトラフィックフローを制御するようにカスタマイズされており、高度に調整された操作を示しています。
帰属と言語的証拠
研究者たちは、この活動が中国語を話す脅威アクターによって実行されていると確信しています。この結論は、以下の事実によって裏付けられています。
- マルウェアとインフラストラクチャで見つかった直接的な言語的証拠。
- アクターをグループ 9 クラスターに接続するアーキテクチャおよび運用上のリンク。
Operation Rewrite は、高度な脅威の攻撃者が SEO ポイズニング、IIS の脆弱性、Web サーバーの侵害を利用してトラフィックをリダイレクトし、金銭目的の攻撃を実行する様子を例示しています。
