En nyligt identificeret søgemaskineoptimeringsmanipulationskampagne har kompromitteret sikkerheden af Internet Information Services (IIS) servere over hele verden. Trend Micro-forskere har afsløret en økonomisk motiveret SEO manipulation angreb udnyttelse af malware kendt som BadIIS, målrettet organisationer på tværs af Asien og andre steder.
BadIIS SEO-angrebet forklaret
BadIIS er en sofistikeret malware-variant, der gør det muligt for cyberkriminelle at manipulere søgemaskinernes placeringer og omdirigere intetanende brugere til ulovlige websteder. Den seneste kampagne, som primært har ramt Indien, Thailand, og Vietnam, demonstrerer, hvordan angribere udnytter sårbare IIS-servere til at implementere BadIIS og tjene penge på deres aktiviteter gennem ulovlige hasardspilkampagner og malwaredistribution.
Ifølge forskere, når en IIS-server er kompromitteret, BadIIS ændrer sine svar på webanmodninger. Brugere, der forsøger at få adgang til legitimt indhold, vil i stedet blive omdirigeret til en af to potentielle destinationer:
- Ulovlige gambling-websteder – Omdirigeret trafik tjenes penge på gennem ulovlig gambling, generere indtægter til trusselsaktører.
- Ondsindede servere – Besøgende kan ubevidst blive dirigeret til angriberkontrollerede websteder, der hoster malware- eller phishing-sider, yderligere fare for deres enheder og personlige data.
BadIIS Attack Impact og Victims
Selvom kampagnen primært er rettet mod asiatiske lande, inklusive Indien, Thailand, Vietnam, Filippinerne, Singapore, Taiwan, Syd Korea, og Japan – dets virkninger strækker sig ud over regionale grænser. Forskere har også identificeret kompromitterede IIS-servere i Brasilien, og Bangladesh er blevet markeret som et potentielt mål.
Disse angreb er blevet observeret på IIS-servere ejet af statslige enheder, universiteter, teknologivirksomheder, og teleudbydere. Analysen af ofre indikerer, at mens de fleste ofre bor i samme geografiske område som den kompromitterede server, nogle er blevet påvirket efter at have besøgt inficerede websteder, der er hostet andre steder.
Kinesisktalende trusselskuespillere mistænkt for at stå bag BadIIS
Analyse af domæneregistreringer, indlejrede strenge, og kodestrukturer tyder på, at kampagnen kan blive drevet af kinesisk-talende cyberkriminelle grupper. Malwarens adfærd og kodningsligheder stemmer overens med tidligere observerede taktikker brugt af Group11, en trusselsaktør diskuteret i en 2021 Black Hat USA hvidt papir. Især, den nye BadIIS-variant har en OnSendResponse-handler i stedet for OnBeginRequest, et teknisk skift, der afspejler en udviklende angrebsmetodologi.
Hvordan BadIIS manipulerer SEO for profit
Kernen i denne kampagne kredser om SEO-svindel, udnytte IIS-sårbarheder til at manipulere søgemaskineresultater og drive trafik til illegitime websteder. Malwaren kontrollerer HTTP-anmodningsheadere for User-Agent og Referer-felter, især på udkig efter søgeord forbundet med søgemaskiner såsom Google, Bing, Baidu, og Naver. Hvis opdages, malwaren omdirigerer brugere til svigagtige gamblingsider i stedet for det tilsigtede legitime indhold.
Liste over målrettede søgeord:
Bruger-agent felt: 360, baidu, bing, coccoc, daum, google, naver, Sogou, yisou
Henviser felt: baidu.com, bing.com, Coccoc, daum.net, google, naver.com, so.com, sogou.com, sm.cn
Ud over SEO-svindel, BadIIS fungerer i injektortilstand, indsættelse af ondsindet JavaScript-kode i svaret sendt til legitime besøgende. Denne teknik giver angribere mulighed for dynamisk at indlæse og udføre ondsindede scripts, yderligere kompromitterende brugersikkerhed.
Sådan beskyttes IIS-servere
Microsofts Internet Information Services (IIS) er en udbredt webserverplatform, der driver adskillige organisationers onlinetjenester. Men, dens brede anvendelse gør det også til et attraktivt mål for cyberkriminelle, som det fremgår af denne seneste BadIIS-kampagne. Udnyttelse af IIS-sårbarheder giver angribere mulighed for at injicere ondsindet indhold på legitime websteder, udsætter både webstedsejere og besøgende i fare.
Konsekvenserne af kompromitterede IIS-servere rækker ud over tekniske skader, da organisationer risikerer at miste kundernes tillid, står over for juridiske konsekvenser, og lider skade på omdømmet på grund af, at deres websteder bliver brugt til at distribuere ondsindet indhold. Organisationer kan anvende følgende praksis for at mindske eventuelle risici og undgå at blive ofre for BadIIS eller en lignende operation, som rådgivet af TrendMicro:
- Identificer og ret sårbarheder – Scan IIS-servere regelmæssigt for sikkerhedssvagheder og anvend kritiske opdateringer for at forhindre udnyttelse.
- Overvåg for mistænkelige modulinstallationer – Registrer uventede IIS-modulinstallationer, især dem, der er placeret i ualmindelige mapper.
- Styrk adgangskontrol – Begræns administratoradgang, håndhæve multi-faktor autentificering (MFA), og brug stærk, unikke adgangskoder til alle privilegerede konti.
- Implementer firewalls og netværkssikkerhedsforanstaltninger – Styr og overvåg netværkstrafik til og fra IIS-servere for at begrænse eksponeringen for uautoriseret adgang.
- Overvåg løbende IIS-logfiler – Hold nøje øje med serveraktivitet, leder efter uregelmæssigheder såsom usædvanlige trafikstigninger eller uventede filændringer.
- Hærd IIS-konfigurationer – Reducer angrebsoverfladen ved at deaktivere unødvendige tjenester og funktioner, sikre, at kun væsentlige funktioner forbliver aktive.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: