Een onlangs ontdekte campagne voor manipulatie van zoekmachineoptimalisatie heeft de beveiliging van Internet Information Services in gevaar gebracht (IIS) servers wereldwijd. Onderzoekers van Trend Micro hebben een financieel gemotiveerde SEO-manipulatie-aanval gebruikmakend van malware die bekend staat als BadIIS, gericht op organisaties in Azië en daarbuiten.
De BadIIS SEO-aanval uitgelegd
BadIIS is een geavanceerde malwarevariant waarmee cybercriminelen zoekmachineranglijsten kunnen manipuleren en nietsvermoedende gebruikers naar illegale websites kunnen doorverwijzen.. De nieuwste campagne, die vooral India heeft getroffen, Thailand, en Vietnam, laat zien hoe aanvallers kwetsbare IIS-servers misbruiken om BadIIS te implementeren en hun activiteiten te gelde te maken via illegale gokpromoties en de verspreiding van malware.
Volgens onderzoekers, zodra een IIS-server is gecompromitteerd, BadIIS verandert zijn reacties op webverzoeken. Gebruikers die proberen toegang te krijgen tot legitieme inhoud, worden in plaats daarvan doorgestuurd naar een van de twee mogelijke bestemmingen:
- Illegale gokwebsites – Omgeleid verkeer wordt gemonetariseerd via illegale gokactiviteiten, inkomsten genereren voor dreigingsactoren.
- Kwaadaardige servers – Bezoekers kunnen onbewust worden doorgestuurd naar door aanvallers gecontroleerde sites die malware of phishingpagina's hosten, hun apparaten en persoonlijke gegevens verder in gevaar brengen.
Impact van BadIIS-aanvallen en slachtoffers
Hoewel de campagne zich voornamelijk richt op Aziatische landen, inclusief India, Thailand, Vietnam, de Filipijnen, Singapore, Taiwan, Zuid-Korea, en Japan – de gevolgen ervan reiken verder dan regionale grenzen. Onderzoekers hebben ook gecompromitteerde IIS-servers in Brazilië geïdentificeerd, en Bangladesh is aangemerkt als een potentieel doelwit.
Deze aanvallen zijn waargenomen op IIS-servers die eigendom zijn van overheidsinstanties, universiteiten, technologiebedrijven, en telecommunicatieproviders. Uit de analyse van de slachtoffers blijkt dat de meeste slachtoffers zich in dezelfde geografische regio bevinden als de gecompromitteerde server., sommigen zijn getroffen nadat ze geïnfecteerde websites bezochten die elders werden gehost.
Er wordt vermoed dat Chinese sprekende dreigingsactoren achter BadIIS zitten
Analyse van domeinregistraties, ingebedde snaren, en de codestructuren suggereren dat de campagne mogelijk wordt uitgevoerd door Chinees sprekende cybercriminele groepen. Het gedrag en de coderingsovereenkomsten van de malware komen overeen met eerder waargenomen tactieken die door Group11 zijn gebruikt, een dreigingsactor besproken in een 2021 Whitepaper van Black Hat USA. Opmerkelijk, de nieuwe BadIIS-variant beschikt over een OnSendResponse-handler in plaats van OnBeginRequest, een technische verschuiving die een evoluerende aanvalsmethodologie weerspiegelt.
Hoe BadIIS SEO manipuleert voor winst
De kern van deze campagne draait om SEO-fraude, het benutten van IIS-kwetsbaarheden om zoekmachineresultaten te manipuleren en verkeer naar illegale sites te leiden. De malware controleert HTTP-aanvraagheaders voor User-Agent- en Referer-velden, met name op zoek naar trefwoorden die verband houden met zoekmachines zoals Google, Bing, Baidu, en Naver. Als gedetecteerd, de malware stuurt gebruikers door naar frauduleuze goksites in plaats van naar de beoogde legitieme inhoud.
Lijst met gerichte trefwoorden:
User-Agent-veld: 360, Baidu-eiland, bing, kokok, water, google, naver, Sogou, jij
Refererend veld: baidu.com, bing.com, Coccoc, daum.net, google, naver.com, zo.com, sogou.com, sm.cn
Naast SEO-fraude, BadIIS werkt in de injectormodus, het invoegen van schadelijke JavaScript-code in het antwoord dat naar legitieme bezoekers wordt verzonden. Met deze techniek kunnen aanvallers dynamisch schadelijke scripts laden en uitvoeren, verdere in gevaar brengen van de veiligheid van de gebruiker.
Hoe IIS-servers te beschermen
Internetinformatiediensten van Microsoft (IIS) is een veelgebruikt webserverplatform dat de onlinediensten van talloze organisaties ondersteunt. Echter, De brede acceptatie ervan maakt het ook een aantrekkelijk doelwit voor cybercriminelen, zoals blijkt uit deze laatste BadIIS-campagne. Door misbruik te maken van IIS-kwetsbaarheden kunnen aanvallers schadelijke inhoud injecteren in legitieme websites, waardoor zowel site-eigenaren als bezoekers in gevaar komen.
De gevolgen van gecompromitteerde IIS-servers reiken verder dan technische schade, omdat organisaties het risico lopen het vertrouwen van hun klanten te verliezen, geconfronteerd met juridische gevolgen, en reputatieschade oplopen doordat hun sites worden gebruikt om kwaadaardige inhoud te verspreiden. Organisaties kunnen de volgende maatregelen nemen om risico's te beperken en te voorkomen dat ze het slachtoffer worden van BadIIS of een soortgelijke operatie, als geadviseerd door TrendMicro:
- Identificeer en repareer kwetsbaarheden – Scan IIS-servers regelmatig op beveiligingszwakheden en pas kritieke updates toe om misbruik te voorkomen.
- Controleer op verdachte module-installaties – Detecteer onverwachte IIS-module-installaties, vooral die zich in ongebruikelijke mappen bevinden.
- Versterk toegangscontroles – Beperk beheerderstoegang, multi-factor authenticatie afdwingen (MFA), en gebruik sterke, unieke wachtwoorden voor alle bevoorrechte accounts.
- Implementeer firewalls en netwerkbeveiligingsmaatregelen – Controleer en bewaak het netwerkverkeer van en naar IIS-servers om de blootstelling aan ongeautoriseerde toegang te beperken.
- Controleer IIS-logboeken continu – Houd de serveractiviteit nauwlettend in de gaten, op zoek naar anomalieën zoals ongebruikelijke verkeerspieken of onverwachte bestandswijzigingen.
- Verhard IIS-configuraties – Verminder het aanvalsoppervlak door onnodige services en functies uit te schakelen, ervoor zorgen dat alleen de essentiële functies actief blijven.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: