複数ライセンス割引見積
脅威データベース 高度な持続的脅威 (APT) BadIIS マルウェア

BadIIS マルウェア

高度な持続的脅威 (APT), マルウェアMezoまで
翻訳内容:
日本語

簡体字中国語でコミュニケーションをとる脅威アクターが、アジアとヨーロッパの国々をターゲットにした新しいキャンペーンに関与していることが判明しました。このキャンペーンの目的は、SEO 戦術を通じて検索エンジンのランキングを操作することです。サイバーセキュリティ研究者によって DragonRank と名付けられたこのブラックハット SEO キャンペーンは、タイ、インド、韓国、ベルギー、オランダ、中国などの地域に影響を及ぼしています。

DragonRank は Web アプリケーション サービスを侵害して Web シェルを展開し、システム情報を収集してPlugXや BadIIS などのマルウェアを配信します。これらの攻撃により、35 台のインターネット インフォメーション サービス (IIS) サーバーが侵害され、最終的には 2021 年 8 月に初めて特定された BadIIS マルウェアをインストールすることを目指しています。

攻撃者が侵害された IIS サーバーを乗っ取る

このマルウェアは、侵害された IIS サーバーを、脅威の攻撃者と被害者の間の不正な通信の中継点に変換することで、プロキシ ウェアと SEO 詐欺を容易にするように設計されています。さらに、検索エンジンに提供されるコンテンツを変更してアルゴリズムを操作し、攻撃者がターゲットとする Web サイトのランキングを向上させることもできます。

調査で最も印象的な発見の 1 つは、IIS マルウェアの汎用性、特に SEO 詐欺への使用です。このマルウェアは、検索エンジンのアルゴリズムを操作して、サードパーティの Web サイトの可視性と評判を高めるために悪用されます。

研究者によって発見された最新の攻撃は、宝飾品、メディア、研究サービス、ヘルスケア、ビデオおよびテレビ制作、製造、輸送、宗教およびスピリチュアル組織、ITサービス、国際問題、農業、スポーツ、さらには風水など、幅広い業界を網羅しています。

DragonRank による攻撃チェーン

攻撃は、phpMyAdmin や WordPress などの Web アプリケーションの既知の脆弱性を悪用して、オープンソースの ASPXspy Web シェルを展開することから始まります。その後、この Web シェルは、ターゲット環境に追加のツールを導入するためのゲートウェイとして機能します。

このキャンペーンの主な目的は、企業の Web サイトをホストしている IIS サーバーを侵害することです。攻撃者はこれらのサーバーを使用して BadIIS マルウェアをインストールし、ポルノやセックスに関連するキーワードを含む詐欺行為のプラットフォームとして再利用します。

このマルウェアの注目すべき特徴は、コマンド アンド コントロール (C2) サーバーに接続するときに、ユーザー エージェント文字列で Google の検索エンジン クローラーを偽装する機能です。この戦術により、マルウェアは一部の Web サイトのセキュリティ対策を回避できます。

脅威アクターがSEO操作に関与

脅威アクターは、検索エンジンのアルゴリズムを悪用または変更して SEO を操作し、検索結果における Web サイトのランキングを高めます。これは、不正なサイトへのトラフィックを誘導したり、不正なコンテンツの可視性を高めたり、ランキングを人為的に上げたり下げたりして競合他社を混乱させたりするために行われます。

DragonRank は、ターゲットのネットワーク内の追加のサーバーに侵入するというアプローチにより、他のブラックハット SEO グループとは一線を画しています。同グループは、中国の脅威アクターが一般的に使用するバックドアである PlugX や、 Mimikatz 、PrintNotifyPotato、BadPotato、GodPotato などのさまざまな認証情報収集ツールを使用して、これらのサーバーを制御します。

悪意のある手法とオンラインプレゼンス

これらの攻撃で使用される PlugX マルウェアは、DLL サイドローディング技術を採用しています。暗号化されたペイロードを開始するローダー DLL は、Windows 構造化例外処理 (SEH) メカニズムを利用して、正当なファイル (つまり、DLL サイドローディングになりやすいバイナリ) がセキュリティ警告をトリガーせずに PlugX をロードできるようにします。

研究者らは、この脅威の担い手が「tttseo」というハンドル名でTelegramやQQインスタントメッセージングアプリで活動し、顧客と違法な商取引を行っている証拠を発見した。また、彼らは顧客のニーズに合わせたプロモーション戦略を考案し、一見質の高い顧客サービスを提供しているようだ。

クライアントは宣伝したいキーワードやウェブサイトを提出することができ、DragonRank はこれらの仕様に基づいて戦略を設計します。このグループはまた、特定の国や言語を対象としたプロモーションに重点を置き、オンライン マーケティングに対するカスタマイズされた徹底的なアプローチを提供しています。

トレンド

IcuAppスクリーンショット

IcuApp

望ましくない可能性のあるプログラム, アドウェア, ブラウザハイジャッカー
潜在的に望ましくないプログラム (PUP) からデバイスを保護することは、これまで以上に重要です。一見無害なソフトウェアにバンドルされていることが多いこれらのプログラムは、プライバシー、セキュリティ、デバイスのパフォーマンスに重大なリスクをもたらす可能性があります。その一例が IcuApp です。これは、侵入的な機能によりサイバーセキュリティの専門家の注目を集めている疑わしいアプリケーション...

$DOGS エアドロップ詐欺

不正なウェブサイト
インターネットの広範かつダイナミックな環境では、詐欺の手口や計画は常に進化しています。デジタル金融、特に暗号通貨分野の台頭により、サイバー犯罪者は疑いを持たないユーザーを騙す新しい革新的な方法を見つけています。そのような手口の 1 つである「$DOGS エアドロップ詐欺」は、Web を閲覧する際に常に警戒する必要があることを浮き彫りにする最近の例です。この暗号通貨の手口は、ユーザーの信頼と好...

Kaseek

望ましくない可能性のあるプログラム, ブラウザハイジャッカー
今日、デバイスのセキュリティはこれまで以上に重要になっています。警戒すべき脅威の 1 つに、システムのパフォーマンスとプライバシーを危険にさらす可能性のある潜在的に不要なプログラム (PUP) があります。PUP の最も懸念される形態の 1 つは、ブラウザー ハイジャッカーです。ブラウザー ハイジャッカーは、ブラウザーの設定を操作して、自身の危険な目的を果たすことができます。Kaseek と...

最も見られました

画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
83,414
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

Msedge.exeとは何ですか?

問題
66,058
一部の Windows ユーザーは、システムのバックグラウンドで「msedge.exe」という名前のプロセスがアクティブになっていることに気付く場合があります。通常、この特定のプロセスは Microsoft Edge ブラウザーの一部であるため、心配する必要はありません。 msedge.exe アプリケーションがシステムの CPU または RAM リソースを大量に消費している場合でも、ブラウ...

「プリンタドライバが利用できません」エラーを修正する方法

問題
64,598
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
読み込んでいます...