Киберпреступники взламывают серверы Microsoft IIS для мошенничества с поисковой оптимизацией

Исследователи WithSecure пока не установили точный вектор первоначального заражения. Однако предыдущие атаки с использованием BadIIS часто опирались на уязвимости веб-приложений, кражу учетных данных администраторов или приобретение доступа через посредников. Анализ инструментов и вредоносного программного обеспечения, применяемых в WEBJACK, указывает на связь с китаеязычным киберпреступным сообществом.

Основным инструментом атаки стали вредоносные модули IIS с именами «fashttp.dll» и «cgihttp.dll». Они упакованы коммерческим протектором Enigma, что затрудняет анализ и обнаружение. Модули используют стандартный для IIS механизм «RegisterModule», но их функционал включает конструкцию URL-адресов, контролируемых злоумышленниками. Внутри кода обнаружены пути к отладочным файлам PDB, указывающие на среду разработки, и временные метки компиляции, относящиеся к июлю 2025 года.

Кампания WEBJACK реализует сложную схему поискового мошенничества. Вредоносные модули определяют тип посетителя по его User-Agent и другим параметрам запроса. Поисковым роботам они показывают специально подготовленный SEO-оптимизированный контент, а обычным пользователям - подлинные страницы сайта, ошибку 404 или перенаправление. Такой подход позволяет злоумышленникам индексировать fraudulent-страницы под авторитетными доменами, не вызывая подозрений у владельцев ресурсов.

В зависимости от конфигурации, модуль действует в одном из трех режимов. Режим инъекции контента загружает данные с контролируемой злоумышленниками инфраструктуры, например, с доменов seo[.]667759[.]com или w3c[.]sneaws[.]com. Новые версии модулей передают параметры в открытом виде, в отличие от ранних вариантов с кодированием Base64. Важно, что контент обычно размещается на вновь созданных путях компрометированного сайта, что усложняет обнаружение вмешательства.

Функция перенаправления активируется, когда пользователь переходит на сайт из результатов поисковой системы. В этом случае модуль проверяет поле HTTP Referer и автоматически направляет жертву на сайты казино или букмекерских контор. Если же запрос не содержит реферера, сервер возвращает ошибку 404. Такой избирательный подход помогает злоумышленникам сохранять скрытность операции.

Третий режим, инъекция ссылок, предназначен для манипуляции ранжированием. Модуль ежедневно загружает с серверов злоумышленников рандомизированный список ссылок и внедряет его в страницы только для поисковых роботов. Это позволяет наращивать ссылочную массу для продвижения целевых ресурсов, используя авторитет легитимных доменов.

На скомпрометированных серверах также обнаружен ряд инструментов, популярных в китаеязычном сообществе. Среди них - загрузчик shellcode XlAnyLoader, способный запускать полезную нагрузку (payload), сгенерированную утилитой Donut, что позволяет выполнять произвольный код, включая Cobalt Strike или Mimikatz. Кроме того, злоумышленники использовали VPN-клиент SoftEther, сетевой сканер FScan, утилиту для очистки журналов Sharp4RemoveLog, средство защиты файлов CnCrypt Protect и программу удаленного управления GoToHTTP. При этом некоторые из этих инструментов, включая FScan и GoToHTTP, были заражены файловым вирусом m0yv.

Инфраструктура кампании включает не менее 112 скомпрометированных доменов, около 65% из которых расположены во Вьетнаме. Остальные жертвы распределены по странам Латинской Америки и Азии, с единичными случаями в Европе. Анализ утекших PHP-ошибок позволил исследователям изучить внутреннее устройство панелей управления злоумышленников, где обнаружились комментарии на китайском языке.

Внедряемый контент был ориентирован на ключевые слова, связанные с азартными играми, примерно 70% запросов - на вьетнамском языке. Это подтверждает региональную направленность кампании на аудиторию Юго-Восточной Азии. Хотя текущая деятельность WEBJACK сосредоточена на мошенничестве через SEO, использование таких инструментов, как CnCrypt Protect и XlAnyLoader, демонстрирует потенциал для более опасных действий, включая кражу данных.

Для защиты от подобных атак организациям рекомендуется регулярно проверять серверы IIS на наличие несанкционированных модулей, таких как «fashttp.dll» и «cgihttp.dll». Мониторинг сетевого трафика и системных журналов помогает выявлять подозрительное поведение, в частности, разный контент для роботов и пользователей. Также важно отслеживать использование в корпоративной среде инструментов, замеченных в кампании, даже если они имеют легитимное назначение.

IPv4

• 79.142.76.244

Domains

• google.sneaws.com
• google2.sneaws.com
• jiankong.sneaws.com
• jk.667759.com
• kaifa.sneaws.com
• seo.667759.com
• tdk.hunanduodao.com
• tdk.jmfwy.com
• w3c.sneaws.com
• w5c.sneaws.com
• w5r.sneaws.com

SHA256

• 00c7efe65ab90c03678359f5ba6b24d9f938a28205652dd61f15d7a31323cf1b
• 11265422e79f2cd057ee1ae38a16e5db54039711ae8cdb9e177aebfde5666f32
• 48ec6530470b295db455bf2c72dc4fbd18672725f45821304f966d436b428865
• 561fcf1a2d6cc2170d2b538f416e95d981663984e384da51b36ffe97d2653dcd
• 6b60b6df8a1a95f51ffe57255c05d26eb9e113857efac3b29d6ef080b8d414f3
• 72cf397738724b1f555c147005c61c058619405846460a60b02a2af75b57a81e
• 767576a2b67a3a53883b174a50c83192d0930a4ce213af5f5093e6ee26910d2b
• 86b8605b4870be8c3e83e51b4e3ee80e781a7c5a0104ffa656da651a03579c5a
• 98d4d3de1af9d8568ededbddad4ed5a2072393985421462f44d12e482a1a36af
• 9a2fd34e22c5f3d3d5fb96e3cd514dad7b03ed7bf53a87e7d8d9b73987d02ece
• b0842c9916449de6d4b4159d6c5af747d6fb40609510d6a8d2eb669932c1f661
• bab9a644aff24cf313210cc6632f71d935a428ea0efb3823c0dbe6dccabe4b73
• c17d1bb654bfa9ff9f612d37c1204585cfc76d663818a23aac78ba43e35e3df0
• c65dea5d6ab244520a794de0bc9a232050b632b391b3cd3a616661f03d9d2619
• c9b4657b6aea927bb0f601f2063e743f8702408c98d01ca3332692b29c4d90ca
• cbbe63d47e377ab93a39d11554b3024760868bf667db388efc62e6f2850b5d89
• d8c0ef6dbf7d4572f92d3a492f32061ab8f3dd46beb9ff5a0bf9bf550935458c
• e51ea911a281097be040ac2871134e6c7d5c3b37c8b46d2267ad40a18a05d2ec
• ffa835cd05558fa52a12e91136c4e8a3e7393b3155a6be7877812c6e7d1ff811
• ffbad7beab3e0888d6957637f2ec80156402ad540e9c92ebb243fe27bea1f598