Logiciel malveillant BadIIS
Des chercheurs en cybersécurité ont découvert une campagne sophistiquée d'empoisonnement SEO, vraisemblablement menée par un acteur malveillant sinophone. Les attaques ciblent principalement l'Asie de l'Est et du Sud-Est, et plus particulièrement le Vietnam. Cette campagne est associée au logiciel malveillant BadIIS et est répertoriée sous le nom CL-UNK-1037. Il est à noter que l'acteur malveillant présente des chevauchements d'infrastructure et d'architecture avec des entités identifiées comme Group 9 et DragonRank.
Table des matières
Comment fonctionne l’empoisonnement SEO
L'empoisonnement SEO consiste à manipuler les résultats des moteurs de recherche pour inciter les utilisateurs à visiter des sites web inattendus ou malveillants, tels que des sites de jeux d'argent ou des portails de contenu pour adultes, à des fins lucratives. Dans cette campagne, les attaquants exploitent un module IIS natif, BadIIS, pour diffuser du contenu malveillant provenant de serveurs légitimes mais compromis.
Les fonctions BadIIS incluent :
- Interception et modification du trafic HTTP entrant.
- Injection de mots-clés et d’expressions dans des sites Web réputés pour manipuler les classements des moteurs de recherche.
- Signalisation des visiteurs par les robots des moteurs de recherche à l'aide de l'en-tête User-Agent et récupération du contenu empoisonné à partir d'un serveur de commande et de contrôle (C2).
Cette approche permet aux sites Web compromis d’être bien classés pour les termes de recherche ciblés, redirigeant finalement les utilisateurs sans méfiance vers des sites frauduleux.
Le cycle de vie des attaques
L'attaque par empoisonnement SEO suit un processus en plusieurs étapes :
Création du leurre : les attaquants transmettent du contenu manipulé aux robots des moteurs de recherche, faisant apparaître le site Web compromis comme pertinent pour des termes de recherche sans rapport.
Déclencher le piège : les victimes qui recherchent ces termes rencontrent des sites apparemment légitimes mais compromis, qui les redirigent vers des destinations malveillantes.
Dans au moins un incident connu, les attaquants ont exploité l'accès au robot d'exploration des moteurs de recherche pour intensifier les attaques en créant de nouveaux comptes locaux, en déployant des shells Web, en exfiltrant le code source et en installant des implants BadIIS supplémentaires pour un accès distant persistant.
Outils et variantes utilisés
L'acteur de la menace utilise plusieurs outils et variantes pour réaliser des manipulations SEO et contrôler le trafic :
- Gestionnaire de pages ASP.NET léger pour le proxy de contenu malveillant.
- Module IIS .NET géré pour inspecter/modifier les requêtes et injecter des liens/mots-clés de spam.
- Script PHP tout-en-un combinant redirection utilisateur et empoisonnement SEO dynamique.
Tous les implants sont personnalisés pour contrôler les résultats des moteurs de recherche et le flux de trafic, démontrant ainsi un fonctionnement hautement coordonné.
Attribution et preuves linguistiques
Les chercheurs sont convaincus que cette activité est menée par un acteur malveillant parlant chinois. Cette conclusion est corroborée par :
- Des preuves linguistiques directes ont été trouvées dans les logiciels malveillants et l’infrastructure.
- Liens architecturaux et opérationnels reliant l'acteur au cluster du Groupe 9.
L'opération Rewrite illustre la manière dont les acteurs de menaces sophistiqués exploitent l'empoisonnement du référencement, les vulnérabilités IIS et les compromissions des serveurs Web pour rediriger le trafic et mener des attaques motivées par des raisons financières.
