VietNetwork.Vn

Các nhà nghiên cứu an ninh mạng đang kêu gọi sự chú ý đến một chiến dịch đầu độc tối ưu hóa công cụ tìm kiếm (SEO) có khả năng do một tác nhân đe dọa nói tiếng Trung Quốc thực hiện bằng cách sử dụng phần mềm độc hại có tên BadIIS trong các cuộc tấn công nhắm vào Đông Á và Đông Nam Á, đặc biệt là tập trung vào Việt Nam.

Hoạt động này, được gọi là Chiến dịch Rewrite, đang được Đơn vị 42 của Palo Alto Networks theo dõi với mã hiệu CL-UNK-1037, trong đó "CL" là viết tắt của cụm và "UNK" là động cơ chưa xác định. Tác nhân đe dọa này được phát hiện có chung cơ sở hạ tầng và kiến trúc trùng lặp với một thực thể được ESET và DragonRank gọi là Nhóm 9.


"Để thực hiện tấn công SEO, kẻ tấn công thao túng kết quả tìm kiếm để lừa người dùng truy cập vào các trang web bất ngờ hoặc không mong muốn (ví dụ: trang web cờ bạc và khiêu dâm) nhằm mục đích trục lợi", nhà nghiên cứu bảo mật Yoav Zemah cho biết. "Cuộc tấn công này sử dụng một mô-đun độc hại của Dịch vụ Thông tin Internet (IIS) có tên là BadIIS."

BadIIS được thiết kế để chặn và sửa đổi lưu lượng truy cập web HTTP đến với mục tiêu cuối cùng là cung cấp nội dung độc hại cho khách truy cập trang web bằng các máy chủ bị xâm nhập hợp pháp. Nói cách khác, ý tưởng là thao túng kết quả tìm kiếm để điều hướng lưu lượng truy cập đến đích đến mà họ chọn bằng cách chèn các từ khóa và cụm từ vào các trang web hợp pháp có uy tín tên miền tốt.

Mô-đun IIS được trang bị để đánh dấu khách truy cập đến từ trình thu thập thông tin của công cụ tìm kiếm bằng cách kiểm tra tiêu đề User-Agent trong yêu cầu HTTP, cho phép liên hệ với máy chủ bên ngoài để lấy nội dung bị nhiễm độc nhằm thay đổi SEO và khiến công cụ tìm kiếm lập chỉ mục trang web bị nhiễm độc là kết quả có liên quan cho các thuật ngữ được tìm thấy trong phản hồi của máy chủ chỉ huy và kiểm soát (C2).

Khi các trang web đã bị đầu độc theo cách này, tất cả những gì cần làm để hoàn tất kế hoạch là dụ dỗ nạn nhân tìm kiếm những thuật ngữ đó trên công cụ tìm kiếm và nhấp vào trang web hợp pháp nhưng bị xâm phạm, cuối cùng chuyển hướng họ đến một trang web lừa đảo.

Trong ít nhất một vụ việc được Đơn vị 42 điều tra, những kẻ tấn công được cho là đã lợi dụng quyền truy cập vào trình thu thập thông tin của công cụ tìm kiếm để chuyển sang các hệ thống khác, tạo tài khoản người dùng cục bộ mới và thả các shell web để thiết lập quyền truy cập từ xa liên tục, đánh cắp mã nguồn và tải lên các phần mềm cấy ghép BadIIS.

"Cơ chế này đầu tiên tạo ra một mồi nhử, sau đó kích hoạt bẫy", Đơn vị 42 cho biết. "Mồi nhử được tạo ra bằng cách kẻ tấn công cung cấp nội dung bị thao túng cho trình thu thập thông tin của công cụ tìm kiếm. Điều này khiến trang web bị xâm nhập được xếp hạng cao hơn cho các thuật ngữ bổ sung mà nếu không thì nó sẽ không có liên quan. Máy chủ web bị xâm nhập sau đó hoạt động như một proxy ngược - một máy chủ trung gian lấy nội dung từ các máy chủ khác và hiển thị nội dung đó như của chính nó."

Một số công cụ khác được kẻ tấn công triển khai trong các cuộc tấn công của chúng bao gồm ba biến thể khác nhau của mô-đun BadIIS -

    Trình xử lý trang   Đăng nhập để xem liên kết nhẹ đạt được cùng mục tiêu là đầu độc SEO bằng cách ủy quyền nội dung độc hại từ máy chủ C2 từ xa
    Một mô-đun   Đăng nhập để xem liên kết được quản lý có thể kiểm tra và sửa đổi mọi yêu cầu đi qua ứng dụng để đưa các liên kết và từ khóa spam từ một máy chủ C2 khác và
    Một tập lệnh PHP tất cả trong một kết hợp chuyển hướng người dùng và đầu độc SEO động

"Tác nhân đe dọa đã thiết kế tất cả các phần mềm cấy ghép nhằm mục đích thao túng kết quả tìm kiếm và kiểm soát lưu lượng truy cập", Đơn vị 42 cho biết. "Chúng tôi đánh giá với độ tin cậy cao rằng một tác nhân nói tiếng Trung đang thực hiện hoạt động này, dựa trên bằng chứng ngôn ngữ trực tiếp, cũng như các liên kết về cơ sở hạ tầng và kiến trúc giữa tác nhân này và nhóm Group 9."

Thông tin này được tiết lộ vài tuần sau khi ESET nêu chi tiết về một cụm mối đe dọa chưa từng được ghi nhận trước đây có tên GhostRedirector đã xâm nhập ít nhất 65 máy chủ Windows chủ yếu đặt tại Brazil, Thái Lan và Việt Nam bằng một mô-đun IIS độc hại có tên mã là Gamshen để tạo điều kiện cho hành vi gian lận SEO.