BadIIS-Malware manipuliert Suchergebnisse für Verkehrsumleitung
Chinesischsprachige Angreifer nutzen SEO-Poisoning-Techniken gegen Server in Ost- und Südostasien. Die Schadsoftware schleust Web-Shells ein und leitet Nutzer zu Betrugsseiten um.
Cybersicherheitsforscher haben eine SEO-Poisoning-Kampagne aufgedeckt, bei der die Schadsoftware BadIIS für Angriffe auf Server in Ost- und Südostasien eingesetzt wird. Die als „Operation Rewrite“ bezeichnete Kampagne wird laut Unit 42 von Palo Alto Networks von einem chinesischsprachigen Bedrohungsakteur durchgeführt, der unter dem Namen CL-UNK-1037 verfolgt wird. Der Bedrohungsakteur weist infrastrukturelle und architektonische Überschneidungen mit einer Entität auf, die von ESET und DragonRank alsGruppe 9 bezeichnet wird. Die Angriffe konzentrieren sich hauptsächlich auf Vietnam und andere Länder der Region.
Funktionsweise der BadIIS-Schadsoftware
BadIIS ist ein natives Internet Information Services (IIS)-Modul, das darauf ausgelegt ist, eingehenden HTTP-Webverkehr abzufangen und zu manipulieren. Laut Sicherheitsforscher Yoav Zemah manipulieren die Angreifer Suchmaschinenergebnisse, „um Nutzer dazu zu verleiten, unerwartete oder unerwünschte Websites (z. B. Glücksspiel- und Pornoseiten) zu besuchen und so finanzielle Gewinne zu erzielen.“
Das IIS-Modul kann Besucher identifizieren, die von Suchmaschinen-Crawlern stammen, indem es den User-Agent-Header in der HTTP-Anforderung überprüft. Dadurch kontaktiert es einen externen Server, um vergiftete Inhalte abzurufen und die Suchmaschinenoptimierung zu ändern. Die Suchmaschine wird veranlasst, die betroffene Website als relevantes Ergebnis für Begriffe zu indizieren, die in der Antwort des Command-and-Control-Servers gefunden werden.
Das Ziel besteht darin, Schlüsselwörter und Phrasen in legitime Websites mit gutem Domain-Ruf einzufügen. Sobald die Websites vergiftet sind, werden Opfer in die Falle gelockt, indem sie in einer Suchmaschine nach diesen Begriffen suchen und auf die legitime, aber kompromittierte Website klicken, die sie schließlich auf eine Betrugswebsite umleitet.
Köder-und-Falle-Mechanismus
Unit 42 beschreibt den Angriffsmechanismus als zweistufigen Prozess: „Der Köder wird von Angreifern erstellt, die den Crawlern von Suchmaschinen manipulierte Inhalte zuführen. Dadurch wird die kompromittierte Website für zusätzliche Begriffe gerankt, zu denen sie sonst keine Verbindung hätte. Der kompromittierte Webserver fungiert dann als Reverse-Proxy – ein Zwischenserver, der Inhalte von anderen Servern erhält und als seine eigenen ausgibt.“
Bei mindestens einem untersuchten Vorfall nutzten die Angreifer ihren Zugriff auf Suchmaschinen-Crawler, um auf andere Systeme zuzugreifen. Sie erstellten neue lokale Benutzerkonten und platzierten Web-Shells, um dauerhaften Fernzugriff einzurichten. Zusätzlich exfiltrierten sie Quellcode und luden BadIIS-Implantate hoch.
Die Bedrohungsakteure setzen drei verschiedene Varianten von BadIIS-Modulen ein: einen leichtgewichtigen ASP.NET-Seitenhandler, der schädliche Inhalte von einem Remote-C2-Server weiterleitet, ein verwaltetes .NET IIS-Modul, das Spam-Links und Schlüsselwörter einschleust, und ein All-in-One-PHP-Skript, das Benutzerumleitung und dynamisches SEO-Poisoning kombiniert.
Attribution und breiterer Bedrohungskontext
Unit 42 geht „mit hoher Wahrscheinlichkeit davon aus, dass ein chinesischsprachiger Akteur diese Aktivität betreibt, basierend auf direkten sprachlichen Beweisen sowie infrastrukturellen und architektonischen Verbindungen zwischen diesem Akteur und dem Cluster der Gruppe 9.“ Laut den Forschern hat der Bedrohungsakteur „alle Implantate darauf zugeschnitten, Suchmaschinenergebnisse zu manipulieren und den Datenverkehr zu kontrollieren.“
Die Enthüllung erfolgte wenige Wochen, nachdem ESET einen bisher nicht dokumentierten Bedrohungscluster namens GhostRedirector detailliert beschrieben hatte. Dieser konnte mindestens 65 Windows-Server, die sich hauptsächlich in Brasilien, Thailand und Vietnam befinden, mit einem bösartigen IIS-Modul mit dem Codenamen Gamshen kompromittieren, um SEO-Betrug zu ermöglichen.
Die Häufung ähnlicher Angriffe auf IIS-Server in der Region zeigt ein wachsendes Problem mit SEO-Poisoning-Kampagnen, die legitime Websites als Sprungbrett für Betrugsaktivitäten nutzen. Die Verwendung verschiedener Malware-Varianten und die Anpassung an unterschiedliche Serverumgebungen deuten auf eine gut organisierte und technisch versierte Bedrohungsgruppe hin.