Siber güvenlik araştırmacıları, Çince konuşan bir tehdit oyuncusu tarafından gerçekleştirilen bir arama motoru optimizasyonu (SEO) zehirlenme kampanyasına dikkat çekiyorlar. Badis Doğu ve Güneydoğu Asya’yı hedefleyen saldırılarda, özellikle Vietnam’a odaklanarak.
Aktivite, dublaj Operasyon Yeniden YazmaPalo Alto Networks Birimi 42 tarafından izleniyor CL-bütün-1037 altında, burada “CL” küme anlamına geliyor ve “unk” bilinmeyen motivasyonu ifade ediyor. Tehdit oyuncusu, ESET ve Dragonrank tarafından Grup 9 olarak adlandırılan bir kuruluşla altyapı ve mimari örtüşmeyi paylaştığı bulunmuştur.
Güvenlik araştırmacısı Yoav Zemah, “SEO zehirlenmesi yapmak için saldırganlar, insanları insanları beklenmedik veya istenmeyen web sitelerini (örn. Kumar ve porno web siteleri) finansal kazanç için ziyaret etmek için kandırmak için arama motoru sonuçlarını manipüle ediyor.” Dedi. “Bu saldırı, Badiis adı verilen kötü amaçlı yerel İnternet Bilgi Hizmetleri (IIS) modülü kullandı.”
Badiis, meşru tehlikeye atılmış sunucular kullanan site ziyaretçilerine kötü niyetli içerik sunmak amacıyla gelen HTTP web trafiğini kesmek ve değiştirmek için tasarlanmıştır. Başka bir deyişle, fikir arama motoru sonuçlarını, iyi bir etki alanı itibarı taşıyan meşru web sitelerine anahtar kelimeleri ve ifadeleri enjekte ederek seçtikleri bir hedefe yönlendirmek için manipüle etmektir.
IIS modülü, HTTP isteğinde kullanıcı-ajanı başlığını inceleyerek arama motoru tarayıcılarından kaynaklanan ziyaretçileri bayrak etmek için donatılmıştır, bu da SEO’yu değiştirmek ve arama motorunun kurban sitesini komut-ve kontrol (C2) sunucusu yanıtı için bulunan terimler için alakalı bir sonuç olarak dizine eklemek için harici bir sunucuya başvurmasına izin verir.
Siteler bu şekilde zehirlendikten sonra, şemayı tamamlamak için gereken tek şey, bir arama motorundaki bu terimleri arayan ve meşru ama işbirlikli siteyi tıklayan ve sonuçta bunları bir aldatmaca sitesine yönlendiren kurbanları artırmaktır.
Ünite 42 tarafından araştırılan en az bir olayda, saldırganların diğer sistemlere döndürmek, yeni yerel kullanıcı hesapları oluşturmak ve kalıcı uzaktan erişim oluşturmak, kaynak kodunu söndürmek ve BADIIS implantlarını yüklemek için web kabuklarını bırakmaları için bir arama motoru tarayıcısına erişimini sağladıkları söylenir.
Ünite 42, “Mekanizma önce bir yem oluşturuyor ve sonra tuzağı yayıyor.” Dedi. “Cazibe, manipüle edilmiş içeriği arama motoru tarayıcılara besleyen saldırganlar tarafından oluşturulur. Bu, uzlaşmadığı ek şartlar için uzlaşmış web sitesi sıralamasını yapar. Uzaklaştırılmış web sunucusu ters proxy olarak hareket eder – diğer sunuculardan içerik alan ve onu kendi olarak sunan bir aracı sunucu.”
Tehdit aktörleri tarafından saldırılarında konuşlandırılan diğer araçlardan bazıları, üç farklı Badiis modül varyantı –
- Uzak bir C2 sunucusundan kötü niyetli içeriği proxying ile aynı SEO zehirlenmesi hedefine ulaşan hafif bir ASP.NET sayfa işleyicisi
- Farklı bir C2 sunucusundan spam bağlantıları ve anahtar kelimeleri enjekte etmek için uygulama üzerinden geçen her isteği inceleyebilen ve değiştirebilen yönetilen bir .NET IIS modülü ve
- Kullanıcı yeniden yönlendirme ve dinamik SEO zehirlenmesini birleştiren hepsi bir arada bir PHP komut dosyası
Ünite 42, “Tehdit oyuncusu tüm implantları arama motoru sonuçlarını manipüle etmek ve trafik akışını kontrol etmek amacıyla uyarladı.” Dedi. Diyerek şöyle devam etti: “Çince konuşan bir aktörün, doğrudan dilsel kanıtların yanı sıra bu aktör ve Grup 9 kümesi arasındaki altyapı ve mimarlık bağlantılarına dayanarak bu etkinliği çalıştırdığına dair yüksek güvenle değerlendiriyoruz.”
Açıklama, ESET’in, SEO dolandırıcılığını kolaylaştırmak için öncelikle Brezilya, Tayland ve Vietnam’da yer alan en az 65 Windows sunucusunu kötü niyetli IIS modülü ile yer alan GhostrediDector olarak adlandırılan daha önce belgelenmemiş bir tehdit kümesini detaylandırmasından haftalar sonra geliyor.