悪いIIS: IIS サーバーに対するマルウェアによる SEO 操作攻撃

新たに特定された検索エンジン最適化操作キャンペーンにより、インターネット情報サービスのセキュリティが侵害されました。 (IIS) 世界中のサーバー. トレンドマイクロの研究者は、金銭目的の SEO操作攻撃 BadIISと呼ばれるマルウェアを利用する, アジア全域および海外の組織をターゲットとする.

BadIIS SEO 攻撃の説明

BadIISは、サイバー犯罪者が検索エンジンのランキングを操作し、無防備なユーザーを違法なウェブサイトにリダイレクトできるようにする高度なマルウェアの亜種です。. 最新のキャンペーン, 主にインドに影響を与えている, タイ, とベトナム, 攻撃者が脆弱な IIS サーバーを悪用して BadIIS を展開し、違法なギャンブルの宣伝やマルウェアの配布を通じて収益を得る方法を示します。.

研究者によると, IISサーバーが侵害されると, BadIISはWebリクエストへの応答を変更する. 正当なコンテンツにアクセスしようとするユーザーは、代わりに2つの潜在的な宛先のいずれかにリダイレクトされます。:

• 違法ギャンブルウェブサイト – リダイレクトされたトラフィックは違法ギャンブル運営を通じて収益化されます, 脅威アクターに収益をもたらす.
• 悪意のあるサーバー – 訪問者は知らないうちに、マルウェアやフィッシングページをホストする攻撃者が管理するサイトに誘導される可能性があります。, デバイスと個人データがさらに危険にさらされる.

BadIIS 攻撃の影響と被害者

このキャンペーンは主にアジア諸国を対象としているが、, インドを含む, タイ, ベトナム, フィリピン, シンガポール, 台湾, 韓国, そして日本―その影響は地域の境界を越えて広がる. 研究者らはブラジルでもIISサーバーが侵害されていることを特定した。, バングラデシュは潜在的な標的として注目されている.

これらの攻撃は政府機関が所有するIISサーバー上で観測されている。, 大学, テクノロジー企業, および通信事業者. 被害者の分析によると、ほとんどの被害者は侵入されたサーバーと同じ地理的地域に住んでいるが、, 他の場所でホストされている感染したウェブサイトにアクセスした後に影響を受けた人もいます.

BadIIS の背後に中国語を話す脅威アクターがいると疑われる

ドメイン登録の分析, 埋め込み文字列, コード構造から、このキャンペーンは中国語を話すサイバー犯罪者グループによって運営されている可能性があることがわかる。. このマルウェアの挙動とコードの類似性は、Group11が以前に使用した戦術と一致している。, 脅威アクターは、 2021 Black Hat USA ホワイトペーパー. 特に, 新しい BadIIS バリアントは、OnBeginRequest の代わりに OnSendResponse ハンドラーを備えています。, 進化する攻撃手法を反映した技術的な変化.

BadIIS が利益のために SEO をどのように操作するか

このキャンペーンの核心はSEO詐欺である, IIS の脆弱性を利用して検索エンジンの結果を操作し、不正なサイトへのトラフィックを誘導する. マルウェアはHTTPリクエストヘッダーのUser-AgentフィールドとRefererフィールドをチェックする, 特にGoogleなどの検索エンジンに関連するキーワードを探す, Bing, Baidu, ネイバー. 検出された場合, マルウェアは、ユーザーを意図した正当なコンテンツではなく、詐欺的なギャンブルサイトにリダイレクトします。.

ターゲットキーワードリスト:

ユーザーエージェントフィールド: 360, 百度, ビング, コココ, ダウム, グーグル, ネイバー, 捜狗, イソウ

リファラーフィールド: baidu.com, 詳しくはこちら, Coccoc, ダウム, グーグル, naver.com, ソ.com, ソゴウ, 中国

SEO詐欺に加えて, BadIIS はインジェクター モードで動作します, 正当な訪問者に送信される応答に悪意のある JavaScript コードを挿入する. この技術により、攻撃者は悪意のあるスクリプトを動的に読み込み、実行することができる。, ユーザーのセキュリティがさらに低下する.

IIS サーバーを保護する方法

Microsoft のインターネット インフォメーション サービス (IIS) は、多くの組織のオンラインサービスを支える、広く使用されているウェブサーバープラットフォームです。. でも, 広く普及しているため、サイバー犯罪者にとっても魅力的なターゲットとなっている。, この最新のBadIISキャンペーンからも明らかなように. IISの脆弱性を悪用すると、攻撃者は正当なウェブサイトに悪意のあるコンテンツを挿入できる。, サイト所有者と訪問者の両方を危険にさらす.

IISサーバーの侵害による影響は技術的な損害だけにとどまらない, 組織が顧客の信頼を失うリスクがあるため, 法的影響に直面, 悪質なコンテンツを配信するためにサイトが利用され、評判が損なわれている. 組織は、リスクを軽減し、BadIISや同様の操作の被害に遭うことを避けるために、次の対策を講じることができます。, なので トレンドマイクロのアドバイス:

• 脆弱性を特定して修正する – IIS サーバーを定期的にスキャンしてセキュリティ上の弱点を見つけ、悪用を防ぐために重要な更新を適用します。.
• 疑わしいモジュールのインストールを監視 – 予期しない IIS モジュールのインストールを検出します, 特に珍しいディレクトリにあるもの.
• アクセス制御の強化 – 管理者のアクセスを制限する, 多要素認証を強制する (MFA), 強い, すべての特権アカウントに固有のパスワード.
• ファイアウォールとネットワーク セキュリティ対策を導入する – IIS サーバーとの間のネットワーク トラフィックを制御および監視して、不正アクセスの露出を制限します。.
• IISログを継続的に監視 - サーバーのアクティビティを注意深く監視, 異常なトラフィックの急増や予期しないファイルの変更などの異常を探す.
• IIS 構成を強化する – 不要なサービスや機能を無効にして攻撃対象領域を減らす, 必須の機能のみがアクティブであることを保証する.