Операция «Переписывание»: китайские хакеры манипулируют поисковой выдачей с помощью вредоносного модуля BadIIS

Отравление поисковой выдачи - это техника, при которой злоумышленники манипулируют результатами поисковых систем, чтобы перенаправлять пользователей на нежелательные сайты, такие как порталы азартных игр или порнографические ресурсы, с целью финансовой выгоды. В данной атаке использовался вредоносный нативный модуль для Internet Information Services (IIS) под названием BadIIS. Этот модуль перехватывает и изменяет веб-трафик, используя скомпрометированные легитимные серверы для распространения вредоносного контента. Сервер выступает в роли обратного прокси - промежуточного звена, которое получает контент с других серверов и представляет его как собственный.

Конфигурация вредоносной программы свидетельствует о четкой географической направленности на Восточную и Юго-Восточную Азию. В коде модуля присутствует логика для региональных поисковых систем, что подтверждает целевой характер атаки. Злоумышленники используют не только BadIIS, но и другие инструменты, включая облегченные обработчики страниц ASP.NET, управляемые модули .NET для IIS и универсальные PHP-скрипты.

BadIIS - это обобщенное название для вредоносных нативных модулей IIS, впервые описанных в 2021 году. Эти модули интегрируются непосредственно в конвейер запросов веб-сервера и получают его полные привилегии. Благодаря этому они могут внедрять JavaScript или iframe, туннелировать трафик через обратный прокси, осуществлять перенаправления типа 302 для обмана поисковых роботов и похищать конфиденциальные данные. Исследователи ESET первыми дали название BadIIS и классифицировали его варианты.

Основная цель злоумышленников - манипуляция поисковой выдачей. Вместо того чтобы создавать новые сайты с нуля, они компрометируют авторитетные ресурсы с хорошей репутацией домена. На эти сайты внедряются ключевые слова и фразы, часто используемые в поисковых запросах. Это повышает рейтинг сайта в результатах поиска по популярным запросам, увеличивая трафик на скомпрометированный ресурс.

Атака состоит из двух основных фаз: приманка для поискового робота и ловушка для жертвы. На первом этапе модуль BadIIS перехватывает запрос от поискового робота, идентифицируя его по заголовку User-Agent. Затем модуль связывается с командным сервером (C2), получает специально подготовленный HTML-контент, насыщенный ключевыми словами, и передает его роботу. В результате поисковая система индексирует скомпрометированный сайт как релевантный источник по заданным запросам.

На втором этапе, когда пользователь кликает по отравленной ссылке в поисковой выдаче, модуль анализирует заголовок Referer. Если источником указана поисковая система, запрос идентифицируется как трафик от реального пользователя. BadIIS связывается с C2-сервером, получает команду на перенаправление и незаметно перенаправляет жертву на мошеннический сайт.

Технический анализ кампании CL-UNK-1037 показал, что злоумышленники получили доступ к веб-серверу, после чего перемещались по сети, развертывая веб-шеллы, создавая задания в планировщике задач для перемещения по сети и новые учетные записи пользователей. Они архивировали исходный код веб-приложения в ZIP-архивы и перемещали их в веб-доступные каталоги для последующего извлечения. После этого на серверы загружались DLL-библиотеки, которые регистрировались как модули IIS - это и были образцы BadIIS.

Один из изученных образцов экспортировал функцию RegisterModule, которая создает объект с именем chongxiede - транслитерация китайского слова 重写, означающего «переписать» или «перезаписать». Конфигурация модуля включала списки ключевых слов для заголовков User-Agent и Referer, а также адреса C2-серверов. Среди ключевых слов, наряду с глобальными поисковыми системами, были обнаружены упоминания вьетнамских сервисов, таких как Cốc Cốc и Timkhap, что указывает на целенаправленную атаку на цифровое пространство Вьетнама.

Дальнейшее исследование выявило три новых варианта инструментов злоумышленников. Первый вариант - это скрипт ASP.NET, который выполняет те же функции, что и основной модуль BadIIS, но работает как обработчик страниц. Второй вариант представляет собой управляемый модуль .NET для IIS, который перехватывает запросы и может подменять контент при ошибке 404 или динамически внедрять спам-ссылки. Третий вариант - это PHP-скрипт, который сочетает функции перенаправления пользователей и динамического отравления SEO. Он проверяет тип устройства пользователя и генерирует фиктивные карты сайта для поисковых роботов.

Лингвистические артефакты, такие как китайские комментарии в коде PHP-варианта, а также совпадения в инфраструктуре C2-серверов с доменами, используемыми Group 9, подтверждают причастность китайскоязычных хакеров. Например, в образцах BadIIS использовались серверы 404.008php[.]com, 404.yyphw[.]com и 404.300bt[.]com, которые ранее связывались с Group 9. Также отмечается сходство с кампанией DragonRank, в частности, использование схожих инструментов и паттернов в URI.

В заключение, операция «Переписывание» демонстрирует высокий уровень адаптивности китайскоязычных злоумышленников, которые используют кастомные импланты для манипуляции поисковой выдачей. Анализ предоставляет ценные индикаторы компрометации для специалистов по безопасности, позволяя усилить защиту от подобных угроз. Компании могут использовать продукты Advanced WildFire, Advanced URL Filtering, Advanced DNS Security и Cortex XDR для противодействия таким атакам. В случае подозрения на компрометацию рекомендуется обратиться в службу реагирования на инциденты Unit 42.

URLs

• http://103.248.20.197/index.php
• http://103.248.20.197/zz/u.php
• http://103.6.235.26/kt.html
• http://103.6.235.26/xvn.html
• http://103.6.235.78/index.php
• http://103.6.235.78/vn.html
• http://103.6.235.78/zz/u.php
• http://160.30.173.87/zz/u.php
• http://404.008php.com/zz/u.php
• http://404.300bt.com/index.php
• http://404.300bt.com/zz/u.php
• http://404.hao563.com/index.php
• http://404.hao563.com/zz/u.php
• http://404.hzyzn.com/index.php
• http://404.hzyzn.com/zz/u.php
• http://404.pyhycy.com/index.php
• http://404.pyhycy.com/zz/u.php
• http://404.yyphw.com/index.php
• http://404.yyphw.com/zz/u.php
• http://cs.pyhycy.com/index.php
• http://cs.pyhycy.com/zz/u.php
• http://vn404.008php.com/index.php
• http://vn404.008php.com/zz/u.php
• http://www.massnetworks.org
• http://x404.008php.com/index.php
• http://x404.008php.com/zz/u.php
• https://fb88s.icu/uu/tt.js
• https://sl.008php.com/kt.html

SHA256

• 01a616e25f1ac661a7a9c244fd31736188ceb5fce8c1a5738e807fdbef70fd60
• 1c870ee30042b1f6387cda8527c2a9cf6791195e63c5126d786f807239bd0ddc
• 22a4f8aead6aef38b0dc26461813499c19c6d9165d375f85fb872cd7d9eba5f9
• 22a9e1675bd8b8d64516bd4be1f07754c8f4ad6c59a965d0e009cbeaca6147a7
• 23aa7c29d1370d31f2631abd7df4c260b85227a433ab3c7d77e8f2d87589948f
• 271c1ddfdfb6ba82c133d1e0aac3981b2c399f16578fcf706f5e332703864656
• 2af61e5acc4ca390d3bd43bc649ab30951ed7b4e36d58a05f5003d92fde5e9a7
• 36bf18c3edd773072d412f4681fb25b1512d0d8a00aac36514cd6c48d80be71b
• 40a0d0ee76b72202b63301a64c948acb3a4da8bac4671c7b7014a6f1e7841bd2
• 5aa684e90dd0b85f41383efe89dddb2d43ecbdaf9c1d52c40a2fdf037fb40138
• 6cff06789bf27407aa420e73123d4892a8f15cae9885ff88749fd21aa6d0e8ad
• 6d044b27cd3418bf949b3db131286c8f877a56d08c3bbb0924baf862a6d13b27
• 6d79b32927bac8020d25aa326ddf44e7d78600714beacd473238cc0d9b5d1ccf
• 78ef67ec600045b7deb8b8ac747845119262bea1d51b2332469b1f769fb0b67d
• 8078fa156f5ab8be073ad3f616a2302f719713aac0f62599916c5084dd326060
• 82096c2716a4de687b3a09b638e39cc7c12959bf380610d5f8f9ac9cddab64d7
• 88de33754e96cfa883d737aea7231666c4e6d058e591ef3b566f5c13a88c0b56
• a393b62df62f10c5c16dd98248ee14ca92982e7ac54cb3e1c83124c3623c8c43
• a73c7f833a83025936c52a8f217c9793072d91346bb321552f3214efdeef59eb
• ab0b548931e3e07d466ae8598ca9cd8b10409ab23d471a7124e2e67706a314e8
• b056197f093cd036fa509609d80ece307864806f52ab962901939b45718c18a8
• b95a1619d1ca37d652599b0b0a6188174c71147e9dc7fb4253959bd64c4c1e9f
• bc3bba91572379e81919b9e4d2cbe3b0aa658a97af116e2385b99b610c22c08c
• c5455c43f6a295392cf7db66c68f8c725029f88e089ed01e3de858a114f0764f
• c6622e2900b8112e8157f923e9fcbd48889717adfe1104e07eb253f2e90d2c6a
• d6a0763f6ef19def8a248c875fd4a5ea914737e3914641ef343fe1e51b04f858
• d8a7320e2056daf3ef4d479ff1bb5ce4facda67dfc705e8729aeca78d6f9ca84
• de570369194da3808ab3c3de8fb7ba2aac1cc67680ebdc75348b309e9a290d37
• e2e00fd57d177e4c90c1e6a973cae488782f73378224f54cf1284d69a88b6805
• ed68c5a8c937cd55406c152ae4a2780bf39647f8724029f04e1dce136eb358ea