SEO cslás Kínából
Cisco Talos kutatása szerint az UAT-8099, kínai nyelvterületről működő kiberbűnöző csoport jelentős tevékenységet folytat, kifejezetten értékes Internet Information Services – IIS - webszervereket kompromittálnak, és azokat SEO csalássá alakítják át profit érdekében.
A támadási folyamat egy tipikus fájlfeltöltési sebezhetőséget használ ki, amely révén webböngészőn keresztül feltöltött web shell-t ültetnek be a célrendszerre. Ezután rendszergazdai jogosultságokat szereznek, engedélyezik és beállítják az RDP-hozzáférést, teleportálják magukat vissza proxy- vagy VPN-eszközökön (SoftEther, FRP, EasyTier) keresztül.
Miután stabil hátteret alakítottak ki, telepítik a BadIIS nevű rosszindulatú modult, amely a forgalom manipulációjára épül. A BadIIS két fő módon működik: az egyik mód SEO mód – backlinkeket generál és manipulál, hogy a keresőmotorok, különösen Google, magasabb helyre sorolják a támadók által irányított tartalmakat; a másik mód, az injector üzemmód, amikor a webszerver projekt weboldalain a válaszokba (HTML oldalakba) kártevő JavaScript kódokat injektálnak, amelyek átirányítják a látogatókat rosszindulatú oldalakra.
A BadIIS a User-Agent és Referer HTTP-fejléceket figyeli — például ha a kérés Googlebottól érkezik, akkor SEO-manipulációs tartalmat szolgál ki, ha pedig a felhasználó a Google keresési eredményekről érkezik, akkor a JavaScript-injektálás lép működésbe. A csoport nemcsak webes manipulációkat folytat, hanem adatlopásra is törekszik, naplófájlokat, jelszavakat, tanúsítványokat és konfigurációs fájlokat gyűjtenek, majd egy mappába sűrítik össze és kiszivattyúzzák őket.
A kampány célpontjai főként Ázsia és Délkelet-Ázsia országaiban lévő IIS szerverek, de találtak kompromittált szervereket Indiában, Thaiföldön, Vietnamban, Kanadában és Brazíliában is.
