Logiciel malveillant BadIIS
Un acteur malveillant qui communique en chinois simplifié a été associé à une nouvelle campagne ciblant des pays d'Asie et d'Europe. L'objectif de la campagne est de manipuler les classements des moteurs de recherche grâce à des tactiques de référencement. Cette campagne Black Hat SEO, baptisée DragonRank par des chercheurs en cybersécurité, a eu un impact sur des régions telles que la Thaïlande, l'Inde, la Corée du Sud, la Belgique, les Pays-Bas et la Chine.
DragonRank compromet les services d'application Web pour déployer des shells Web, qui sont ensuite utilisés pour collecter des informations système et diffuser des logiciels malveillants tels que PlugX et BadIIS. Ces attaques ont conduit à la compromission de 35 serveurs Internet Information Services (IIS), visant à terme à installer le logiciel malveillant BadIIS, identifié pour la première fois en août 2021.
Table des matières
Des attaquants prennent le contrôle de serveurs IIS compromis
Le malware est spécifiquement conçu pour faciliter les fraudes par proxy et SEO en transformant le serveur IIS compromis en point de relais pour les communications frauduleuses entre les acteurs malveillants et leurs victimes. De plus, il peut modifier le contenu fourni aux moteurs de recherche pour manipuler les algorithmes et améliorer le classement des sites Web ciblés par les attaquants.
L'une des conclusions les plus frappantes de l'enquête est la polyvalence des malwares IIS, notamment dans leur utilisation pour la fraude SEO. Ces malwares sont exploités pour manipuler les algorithmes des moteurs de recherche, améliorant ainsi la visibilité et la réputation des sites Web tiers.
Les attaques les plus récentes découvertes par les chercheurs couvrent un large éventail de secteurs, notamment la bijouterie, les médias, les services de recherche, les soins de santé, la production vidéo et télévisuelle, la fabrication, les transports, les organisations religieuses et spirituelles, les services informatiques, les affaires internationales, l'agriculture, les sports et même le feng shui.
Chaîne d'attaque attribuée à DragonRank
L'attaque commence par exploiter des vulnérabilités connues dans des applications Web telles que phpMyAdmin et WordPress pour déployer le shell Web open source ASPXspy. Ce shell Web sert ensuite de passerelle pour introduire des outils supplémentaires dans l'environnement cible.
L'objectif principal de la campagne est de compromettre les serveurs IIS hébergeant les sites Web des entreprises. Les attaquants utilisent ces serveurs pour installer le malware BadIIS, les transformant en plateformes pour des activités frauduleuses, impliquant souvent des mots-clés liés à la pornographie et au sexe.
L'une des caractéristiques notables du malware est sa capacité à se faire passer pour le robot d'exploration du moteur de recherche de Google dans sa chaîne User-Agent lors de la connexion au serveur Command-and-Control (C2). Cette tactique lui permet d'échapper à certaines mesures de sécurité des sites Web.
Les acteurs de la menace se livrent à la manipulation du référencement
L'acteur malveillant manipule le référencement en exploitant ou en modifiant les algorithmes des moteurs de recherche pour améliorer le classement d'un site Web dans les résultats de recherche. Cela est fait pour générer du trafic vers des sites frauduleux, augmenter la visibilité du contenu frauduleux ou perturber les concurrents en gonflant ou en dégonflant artificiellement les classements.
DragonRank se distingue des autres groupes Black Hat SEO par son approche consistant à pirater des serveurs supplémentaires au sein du réseau de la cible. Il maintient le contrôle de ces serveurs à l'aide de PlugX, une porte dérobée couramment utilisée par les acteurs malveillants chinois, et de divers outils de collecte d'informations d'identification comme Mimikatz , PrintNotifyPotato, BadPotato et GodPotato.
Techniques malveillantes et présence en ligne
Le malware PlugX utilisé dans ces attaques utilise des techniques de chargement latéral de DLL. La DLL de chargement qui initie la charge utile chiffrée utilise le mécanisme de gestion des exceptions structurées de Windows (SEH) pour garantir que le fichier légitime (c'est-à-dire le binaire sujet au chargement latéral de DLL) peut charger PlugX sans déclencher d'alertes de sécurité.
Les chercheurs ont découvert des preuves montrant que l'acteur malveillant opère sur Telegram sous le pseudonyme « tttseo » et sur l'application de messagerie instantanée QQ, où il effectue des transactions commerciales illégales avec des clients. Il fournit également ce qui semble être un service client de haute qualité, en créant des stratégies promotionnelles adaptées aux besoins de ses clients.
Les clients peuvent soumettre des mots-clés et des sites Web qu'ils souhaitent promouvoir, et DragonRank élabore une stratégie basée sur ces spécifications. Le groupe se concentre également sur le ciblage des promotions pour des pays et des langues spécifiques, offrant une approche personnalisée et complète du marketing en ligne.
