В 2024 году специалисты Trend Micro зафиксировали всплеск вредоносной активности, описываемой как «Chinese-Speaking Group Manipulates SEO with BadIIS». Вредоносный модуль чаще всего атакует Internet Information Services (IIS) и через него внедряет несанкционированный контент или перенаправляет пользователей на сторонние сайты. Авторы BadIIS вводят фрагменты кода, чтобы вывести на страницы нелегальные рекламные материалы и заманивать потенциальных жертв на ресурсы с азартными играми.
Злоумышленники эксплуатируют уязвимости в IIS, используя скрипты установки, где заметен обфусцированный JavaScript, который внедряется в ответы сервера. При обращении пользователей к скомпрометированным веб-страницам может срабатывать редирект на сайты с фишингом или новым вредоносным ПО, либо открываться страницы нелегальных букмекеров. Исследователи отмечают, что главная цель кампании — получить финансовую выгоду от перенаправления трафика.
Наибольшее распространение обнаружено в Азии (Индия, Таиланд, Вьетнам, Филиппины, Сингапур, Тайвань, Южная Корея, Япония), Бразилии и рассматриваемом в качестве возможной цели Бангладеше. Под удар попадают правительственные организации, университеты, технологические компании и телекоммуникационные сервисы. Зачастую вредоносное ПО ориентировано на посетителей из того же региона, что и взломанный сервер, но нередко атаки выходят за региональные рамки.
В модуле BadIIS появился обработчик «OnSendResponse» вместо предыдущего «OnBeginRequest». Программа проверяет поля «User-Agent» и «Referer» на ключевые слова (например, «baidu», «bing», «google», «naver» и другие упомянутые строки) и при совпадении перенаправляет запрос к нежелательным ресурсам. В случаях, когда посетитель не попадает под заданные фильтры, JavaScript, содержащий команды для перенаправления, все равно внедряется в страницу. Вредоносный URL расшифровывается во время выполнения с помощью ключа XOR 0x03. В примере кода встречается: «document.write(<script type="text/javascript" src={зловредная ссылка}></script>)».
Файлы BadIIS могут копироваться в каталоги «C:\ProgramData\Microsoft\DRM\HttpCgiModule.dll» или «C:\ProgramData\Microsoft\DRM\HttpFastCgiModule.Indicators of Compromise» при eventSubId:105. Эксперты подчеркивают важность постоянного мониторинга установленных модулей, ограничения административных прав и использования многофакторной аутентификации. Дополнительную защиту дают межсетевые экраны и регулярный анализ логов IIS для обнаружения аномальных действий.
В рамках облачных платформ, использующих глобальную сеть в 250 миллионов сенсоров и 16 научно-исследовательских центров, предлагаются ранние механизмы реагирования, автоматическая блокировка угроз и сбор расширенных сведений о злоумышленниках. Отдельный инструмент Threat Insights позволяет заблаговременно выявлять группы, стоящие за нелегальными азартными сайтами и SEO-фродом, и принимать упреждающие меры против внедрения BadIIS.
Изображение носит иллюстративный характер
Злоумышленники эксплуатируют уязвимости в IIS, используя скрипты установки, где заметен обфусцированный JavaScript, который внедряется в ответы сервера. При обращении пользователей к скомпрометированным веб-страницам может срабатывать редирект на сайты с фишингом или новым вредоносным ПО, либо открываться страницы нелегальных букмекеров. Исследователи отмечают, что главная цель кампании — получить финансовую выгоду от перенаправления трафика.
Наибольшее распространение обнаружено в Азии (Индия, Таиланд, Вьетнам, Филиппины, Сингапур, Тайвань, Южная Корея, Япония), Бразилии и рассматриваемом в качестве возможной цели Бангладеше. Под удар попадают правительственные организации, университеты, технологические компании и телекоммуникационные сервисы. Зачастую вредоносное ПО ориентировано на посетителей из того же региона, что и взломанный сервер, но нередко атаки выходят за региональные рамки.
В модуле BadIIS появился обработчик «OnSendResponse» вместо предыдущего «OnBeginRequest». Программа проверяет поля «User-Agent» и «Referer» на ключевые слова (например, «baidu», «bing», «google», «naver» и другие упомянутые строки) и при совпадении перенаправляет запрос к нежелательным ресурсам. В случаях, когда посетитель не попадает под заданные фильтры, JavaScript, содержащий команды для перенаправления, все равно внедряется в страницу. Вредоносный URL расшифровывается во время выполнения с помощью ключа XOR 0x03. В примере кода встречается: «document.write(<script type="text/javascript" src={зловредная ссылка}></script>)».
Файлы BadIIS могут копироваться в каталоги «C:\ProgramData\Microsoft\DRM\HttpCgiModule.dll» или «C:\ProgramData\Microsoft\DRM\HttpFastCgiModule.Indicators of Compromise» при eventSubId:105. Эксперты подчеркивают важность постоянного мониторинга установленных модулей, ограничения административных прав и использования многофакторной аутентификации. Дополнительную защиту дают межсетевые экраны и регулярный анализ логов IIS для обнаружения аномальных действий.
В рамках облачных платформ, использующих глобальную сеть в 250 миллионов сенсоров и 16 научно-исследовательских центров, предлагаются ранние механизмы реагирования, автоматическая блокировка угроз и сбор расширенных сведений о злоумышленниках. Отдельный инструмент Threat Insights позволяет заблаговременно выявлять группы, стоящие за нелегальными азартными сайтами и SEO-фродом, и принимать упреждающие меры против внедрения BadIIS.
