Китайские хакеры используют уязвимости в IIS для глобальной кампании SEO-клоакинга

Исследователи установили, что злоумышленники эксплуатируют неправильно сконфигурированные серверы IIS, использующие ключи машины ASP.NET, опубликованные в открытых источниках. Эти криптографические ключи, состоящие из ValidationKey и DecryptionKey, предназначены для защиты таких функций ASP.NET, как ViewState и cookies аутентификации. Уязвимость возникает, когда администраторы используют стандартные ключи из документации Microsoft или форумов вроде StackOverflow.

ViewState представляет собой механизм сохранения состояния страницы между HTTP-запросами. Данные хранятся в скрытом поле __VIEWSTATE в формате Base64. Злоумышленники используют уязвимости десериализации для внедрения вредоносных payload-нагрузок через это поле. При успешной эксплуатации сервер возвращает ошибку HTTP/1.1 500 Internal Server Error, что может служить индикатором атаки.

После получения первоначального доступа хакеры развертывают веб-шеллы Godzilla, модифицированную версию которого они назвали Z-Godzilla_ekp. Этот фреймворк предлагает расширенные возможности, включая обход AMSI, маскировку сетевого трафика и плагины для кражи учетных данных из популярных программ вроде FileZilla и WinSCP.

Для скрытия своего присутствия злоумышленники используют руткит HIDDENDRIVER, основанный на открытом проекте Hidden. Модифицированная версия использует технику Direct Kernel Object Manipulation для сокрытия процессов, файлов и записей реестра. Руткит инициализирует семь критических компонентов, включая мониторинг процессов, фильтрацию файловой системы и реестра, а также режим stealth для сокрытия собственных артефактов.

Особое внимание привлекает использование легитимного инструмента удаленного управления GotoHTTP. Его архитектура Browser-to-Client позволяет хакерам контролировать зараженные серверы через стандартные веб-порты, перенаправляя трафик через инфраструктуру поставщика RMM-решения.

Основной целью кампании является установка модуля TOLLBOOTH, который сочетает возможности бэкдора, веб-шелла и SEO-клоакинга. Модуль динамически загружает конфигурацию с контролируемых злоумышленниками серверов и предоставляет несколько функциональных возможностей.

SEO-клоакинг представляет особый интерес. Модуль различает поисковых ботов и реальных пользователей по заголовкам User-Agent и Referer. Поисковым системам показывается контент, оптимизированный под ключевые слова, в то время как реальные пользователи перенаправляются на мошеннические страницы. TOLLBOOTH создает сеть взаимных ссылок между зараженными сайтами, искусственно повышая их позиции в поисковой выдаче.

Исследование совместно с Validin выявило 571 зараженный сервер IIS по всему миру. Географическое распределение жертв примечательно отсутствием серверов в материковом Китае, что может указывать на целенаправленное исключение домашнего региона из кампании.

Анализ пост-эксплуатационной активности показал, что действия злоумышленников носят интерактивный характер, хотя первоначальное заражение может быть автоматизированным. Многие серверы подвергались повторному заражению после очистки, что свидетельствует о неполной ликвидации уязвимости.

Для полного устранения угрозы недостаточно просто удалить вредоносное ПО. Администраторам необходимо сгенерировать новые уникальные ключи машины ASP.NET вместо использования стандартных значений. Также рекомендуется аудит конфигураций IIS, усиление мониторинга безопасности и применение современных решений для обнаружения угроз.

Кампания REF3927 демонстрирует, как относительно простая ошибка конфигурации может привести к серьезным последствиям. Сочетание эксплуатации уязвимостей, использования открытого инструментария и легитимных RMM-решений делает эту угрозу особенно опасной для организаций по всему миру. Понимание тактик, техник и процедур злоумышленников позволяет специалистам по безопасности более эффективно противостоять подобным угрозам.

Domains

• api.aseo99.com
• asf-sikkeiyjga.cn-shenzhen.fcapp.run
• ask-bdtj-selohjszlw.cn-shenzhen.fcapp.run
• c.cseo99.com
• f.fseo99.com
• mlxya.oss-accelerate.aliyuncs.com

SHA256

• 230b84398e873938bbcc7e4a1a358bde4345385d58eb45c1726cee22028026e9
• 82b7f077021df9dc2cf1db802ed48e0dec8f6fa39a34e3f2ade2f0b63a1b5788
• 913431f1d36ee843886bb052bfc89c0e5db903c673b5e6894c49aabc19f1e2fc
• 915441b7d7ddb7d885ecfe75b11eed512079b49875fc288cd65b023ce1e05964
• bae5a7722814948fbba197e9b0f8ec5a6fe8328c7078c3adcca0022a533a84fe
• bd2de6ca6c561cec1c1c525e7853f6f73bf6f2406198cd104ecb2ad00859f7d3
• c1ca053e3c346513bac332b5740848ed9c496895201abc734f2de131ec1b9fb2
• c348996e27fc14e3dce8a2a476d22e52c6b97bf24dd9ed165890caf88154edd2
• f9dd0b57a5c133ca0c4cab3cca1ac8debdc4a798b452167a1e5af78653af00c1