Los investigadores de ciberseguridad se están centrando en Vietnam en particular, y están centrando su atención en las campañas de adicción de optimización de motores de búsqueda (SEO) que probablemente realizan actores de amenazas de habla china, utilizando malware llamados Badiis en ataques dirigidos al este y sudeste de Asia.
Una actividad llamada Operation Rewrite es rastreada por la unidad de Palo Alto Networks 42 bajo Monica CL-UNCH-1037. Aquí, «CL» representa un clúster y «unk» se refiere a una motivación desconocida. Se sabe que los actores de amenaza comparten infraestructura y arquitectura superpuesta con entidades llamadas Grupo 9 por ESET y Dragon Rank.
«Para llevar a cabo la adicción al SEO, los atacantes manipulan los resultados de los motores de búsqueda para engañar a las personas para que visiten sitios web inesperados o innecesarios (como sitios web de juegos de azar y pornografía) para obtener ganancias financieras», dijo el investigador de seguridad Yoav Zemah. «En este ataque, el módulo de Servicios de Información de Internet nativo de Malicioso (IIS) se llamaba Badiis».
Badiis está diseñado para interceptar y modificar el tráfico web HTTP entrante con el objetivo final de usar un servidor legal e infractor para proporcionar contenido malicioso a los visitantes del sitio. En otras palabras, la idea es dirigir el tráfico al destino de su elección manipulando los resultados de los motores de búsqueda e inyectando palabras clave y frases en sitios web legítimos con una buena reputación de dominio.
El módulo IIS está equipado para los visitantes de los indicadores que se originan en un rastreador de motores de búsqueda al inspeccionar los encabezados de los agentes de usuario en las solicitudes HTTP, lo que permite a los motores de búsqueda indexar los sitios de víctimas como un resultado relacionado de la terminología en las respuestas del servidor de comando y control (C2).
Si su sitio está envenenado de esta manera, todo lo que necesita hacer es buscar esos términos en un motor de búsqueda, hacer clic en un sitio legal pero comprometido y, en última instancia, redirigir a un sitio de estafa.
En al menos un incidente investigado por la Unidad 42, se dice que el atacante ha aprovechado el acceso al rastreador del motor de búsqueda para pivotar a otros sistemas, crear nuevas cuentas de usuarios locales, establecer acceso remoto persistente, eliminar el código fuente y soltar un shell web para cargar implantes Badiis.
«El mecanismo primero construye el señuelo y luego produce la trampa», dijo la Unidad 42. «Los señuelos están construidos por atacantes que suministran el contenido manipulado para buscar rastreadores de motores. Esto los ubica en términos adicionales a los que los sitios web comprometidos no pueden conectarse. Un servidor web comprometido actúa como un proxy inverso.
Otras herramientas desplegadas por los actores de amenaza en los ataques incluyen tres variaciones diferentes del módulo Badiis.
Al presentar contenido malicioso de un servidor C2 remoto, un controlador de página ASP.NET liviano que logra el mismo objetivo de adicción a SEO puede inspeccionar y modificar todas las solicitudes que pasan a través de la aplicación, e inspeccionar y modificar cualquier solicitud que pueda inyectar enlaces spam y palabras clave de diferentes servidores C2.
«Los actores de amenaza adaptaron a todos los implantes a sus objetivos de manipular los resultados de los motores de búsqueda y controlar el flujo del tráfico», dijo la Unidad 42. «Apreciamos encarecidamente que los actores de habla china manipulen esta actividad en función de la evidencia del lenguaje directo e infraestructura y los vínculos arquitectónicos entre este actor y el grupo del Grupo 9».
Esta divulgación pudo comprometerse en al menos 65 servidores de Windows en Brasil, Tailandia y Vietnam, un módulo IIS malicioso llamado Gamshen para promover estafas de SEO unas semanas después de que ESET se llamara Ghostredirector, conocido como clústeres de amenazas previamente indocumentados.
Source link
