Badiis adlı yerel bir IIS modülünden yararlanan saldırganlar, arama motorunu zehirlemek için arama motoru tarama trafiğini manipüle eder ve meşru kullanıcıları dolandırıcılık veya yetişkin odaklı web sitelerine yönlendirir.
Altyapı örtüşüyor Bu etkinliği ESET’in “Grup 9” kümesine bağlayın ve Cisco Talos’un “Dragonrank” kampanyasıyla işlevsel benzerlikleri paylaşın.
Mart 2025’te, birim 42 araştırmacıları, CL-MUNC-1037 olarak izlenen Çince konuşan bir tehdit oyuncusuna atfedilen Operasyon Rewrite olarak adlandırılan gelişmiş bir SEO zehirlenme kampanyası ortaya çıkardı.
Badiis, tam sunucu ayrıcalıkları vererek doğrudan IIS istek boru hattına entegre olur. Geri ihlal edilmiş sunuculara dağıtıldıktan sonra, modül gelen HTTP isteklerini denetler.
Bir arama motoru tarayıcı ziyaret ettiğinde, Badiis isteği keser, C2 sunucusunu anahtar kelime açısından zengin HTML için sorgular ve bu içeriği paletli olarak sunar.
Sonuç olarak, tehlikeye atılan site, genellikle kumar, pornografi veya yasadışı akışa bağlı yüksek trafikli arama terimleri için krediyi endeksleme kazanır.
Ünite 42, “Viet”, “COCCOC” ve “Timkhap” gibi paletli anahtar kelimeler ve Google ve Bing gibi küresel motorlarla birlikte Doğu ve Güneydoğu Asya’yı hedefleyen konfigürasyon gözlemledi.
Gerçek bir kullanıcı zehirlenmiş bir sonucu tıkladığında, BADIIS isteği yönlendirici başlığı aracılığıyla tanımlar, C2 sunucusundan bir yönlendirme yükü getirir ve kurbanı içeriğe vekiller. Bu iki fazlı saldırı, tipik kullanıcılar ve savunuculardan kötü niyetli niyetle gizlenirken etki alanı itibarını en üst düzeye çıkarır.
Arsenal: Kötüden Ötesinde Varians
Çekirdek yerel modülün ötesinde, araştırmacılar üç ek varyant keşfettiler:
- ASP.NET Sayfa İşleyicisi: İçine takılan hafif bir C# komut dosyası
Page_LoadReferans başlıklarını incelemek için olay. Arama motoru botları dinamik olarak oluşturulan SEO içeriği alırken, diğer ziyaretçiler kötü amaçlı URL’lere eklenir. - Yönetilen .NET IIS Modülü: 404 yanıtlarını kaçıran ve spam bağlantılarını geçerli sayfalara enjekte eden tam özellikli bir C# implantı. SEO zehirlenmesi için var olmayan URL’leri endeksler ve arama botları için canlı sayfaları dinamik olarak değiştirir.
- All-in-One PHP Ön Kontrolör: Yönlendirici ve kullanıcı ajanı kontrolleri gerçekleştiren bağımsız bir PHP komut dosyası. Googlebot için sahte XML site haritaları üretir ve tarama yönlendirmeleri ile yüklü mobil kullanıcı trafiğini proxying ise taramada içeriği yeniden yazar.
Bu varyantlar, tehdit oyuncunun uyarlanabilirliğini gösterir, çeşitli barındırma ortamlarında hızlı dağıtım sağlar ve geleneksel yerel modül avcıları tarafından tespitten kaçınır.
Pinyin nesne adı Chongxiede (重写, “yeniden yaz”) ve PHP varyantlarındaki basitleştirilmiş Çince yorumlar dahil olmak üzere dilsel eserler Çince konuşan geliştiricilere atar.
ESET’in Grup 9 Kampanyası aynı kayıt defteri tekniklerini paylaşıyor (RegisterModule– OnBeginRequest– OnSendResponse) ve örtüşen C2 alanları (örneğin, 008php[.]com– yyphw[.]com– 300bt[.]com), paylaşılan bir kod tabanını veya işbirlikçi altyapının onaylanması.
Hiçbir doğrudan alan örtüşmesi CL-tüm-1037’yi Cisco Talos Dragonrank’a bağlasa da, her iki kampanya da SEO zehirlenmesi ve proxy mantığı kullanıyor ve evrimsel araç geliştirme öneriyor.
Hafifletme
Güvenlik ekipleri IIS modülü kayıtlarını ve anormal girişler için planlanan görevleri izlemelidir.
Ağ savunucuları, kötü niyetli yük alma ve proxy trafiğini tanımlamak ve engellemek için Palo Alto Networks’in gelişmiş orman yangını, gelişmiş URL filtreleme, gelişmiş DNS güvenliği ve Cortex XDR’deki gelişmiş algılama yeteneklerinden yararlanabilir.
Ünite 42 tarafından derhal olay yanıtı, ünite 42 olay müdahale ekibi aracılığıyla ayrıntılı uzlaşma göstergeleri ile şüpheli uzlaşmalar için tavsiye edilir.
Çok aşamalı cazibe ve tuzak akışını-izler zehirlenmesini ve ardından kurban yeniden yönlendirilmesini-ve doğal ve senaryo tabanlı implantların genişleyen araç setini anlayarak, IIS güvenliğini artırabilir, katı modül bütünlük kontrolleri oluşturabilir ve benzer SEO zekâya tehditleri için proaktif olarak avlanabilir.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.