TokyoBlackHatNews

gbhackers.com 5分で読了

BadIISマルウェアがIISサーバーをハイジャックし、ユーザーを違法サイトへリダイレクト

Microsoft IISウェブサーバーをハイジャックしてユーザーを違法サイトへリダイレクトするBadIISマルウェアの新しい亜種が、中国語を話すサイバー犯罪グループによって運営されている進化するマルウェア・アズ・ア・サービス(MaaS)エコシステムを浮き彫りにしています。

新しく分析された亜種は、埋め込まれた「demo.pdb」文字列によって特徴付けられており、Talosはこれを使用して開発履歴を追跡しました。

証拠は、「lwxat」というエイリアスを使用している開発者によって、少なくとも2021年9月から2026年1月まで、マルウェアが積極的にメンテナンスされていることを示唆しています。

プログラムデータベース(PDB)パスは、迅速なアップデート、機能ブランチング、ターゲット化された回避技術を含む、構造化された反復開発プロセスを明らかにしています。

一部のビルドはNortonなどのアンチウイルスソリューションをバイパスするために特別に設計されており、一方、他のビルドは感染を露出させる可能性があるIIS「503 Service Unavailable」レスポンスなどの運用エラーを回避するための修正を導入しました。

Talosは中程度の確信度で、この亜種は単一の脅威行為者に結びついておらず、代わりに複数のグループによって使用される共有または売却されたツールであると評価しており、コモディティマルウェアとしての分類を強化しています。

Image

GBhackersと共有されたレポートでCisco Talosが述べたところによると、組み込まれた「demo.pdb」文字列によって識別可能で、コモディティマルウェアとして機能するBadIIS亜種を発見しました。 

BadIISは主に検索エンジン最適化(SEO)詐欺とウェブトラフィック操作に焦点を当てています。侵害されたIISサーバーに展開されると、以下のことができます:

  • 正規ユーザーをギャンブルサイトや成人サイトなどの悪意のある宛先にリダイレクトします。
  • リバースプロキシとして機能して、検索エンジンクローラーに悪意のあるコンテンツを配信します。
  • スパムコンテンツを挿入し、サイトメタデータ(タイトル、説明、キーワード)を操作します。
  • 内部および外部バックリンクを挿入して、攻撃者が制御するドメインのランキングを向上させます。

脅威行為者はハイジャッキング率(影響を受けるトラフィックの割合)を設定し、ホームページが明示的にターゲットにされるかどうかを切り替え、悪意のあるタイトル、説明、キーワード(TDK)メタデータを動的に取得するためのリモートURLを提供できます。 

Image

例えば、検索エンジンクローラーが侵害されたサイトにアクセスすると、BadIISは通常のユーザーが見るものとは異なるコンテンツをサイレントに配信し、悪意のあるページが検出されることなく検索結果でより高くランクするのに役立ちます。

BadIISマルウェアはIISをハイジャック

Talosレポートは、カスタマイズされたBadIISペイロードを生成するために使用される専用ビルダーツールです。このツールを使用すると、攻撃者は以下のことができます:

  • リダイレクトURLと動作を設定します。
  • クローラー操作のためのリバースプロキシ機能を有効にします。
  • コンテンツハイジャッキングルールとトラフィック割合を定義します。
  • バックリンクとSEOスパムスクリプトを挿入します。

ビルダーは設定データをマルウェアに直接埋め込み、シンプルなXOR暗号化技術を使用してコマンド・アンド・コントロール(C2)サーバーアドレスを難読化します。

Image

特に、ビルダーはC2サーバーから特定のレスポンス文字列「lwxat」をチェックする認証メカニズムを含んでいます。このユニークなマーカーは、エコシステム内の複数のツールをリンクする強力な帰属の手がかりとなります。

コアマルウェアを超えて、Talosは同じ著者によって開発された補助ツールのスイートを発見しました。これらには、展開を自動化し、永続性を確保するインストーラー、ドロッパー、およびサービスベースのコンポーネントが含まれます。

一部のツールは「Winlogin」などの名前でWindowsサービスとして動作し、一方、他のツールは二重Base64暗号化またはカスタム難読化を使用して活動を隠しています。

新しいバージョンは2段階のインストールプロセスを実装しており、プライマリインストーラーがBadIISを展開し、セカンダリコンポーネントが削除された場合でも復元されることを確保します。

マルウェアはまた自身を隠されたバックアップ場所にコピーし、サーバーの再起動とセキュリティ修復の試みに耐えることができます。

Image

PDBパスおよび埋め込まれた文字列の分析は、エイリアス「lwxat」が開発者である可能性が高いことを示しています。「xshen」という顧客への追加参照は、カスタマイズされたビルドが特定のクライアント向けに作成されることを示唆しており、商業MaaSモデルをサポートしています。

2024年以来、Talosはこの亜種を使用した攻撃をアジア太平洋地域全体、ならびにヨーロッパ、北米、南アフリカで観察しています。

Trend Micro、AhnLab、VNPT、Elasticなどの他のベンダーが同様のキャンペーンを報告していますが、戦術の違いは複数の行為者が同じ基盤となるツールセットを活用していることを示唆しています。

BadIISの継続的な進化は、ウェブサーバーマルウェアがどのように産業化されているか、そして脅威行為者がSEO詐欺とトラフィックリダイレクションを通じて侵害されたインフラストラクチャを大規模に収益化できるようになっているかを示しています。

翻訳元: https://gbhackers.com/badiis-malware-hijacks-iis/

ソース: gbhackers.com
#BadIIS #IISサーバー #SEO詐欺 #Windows #ウェブサーバー攻撃 #サイバー犯罪 #トラフィックリダイレクト #マルウェア #マルウェア・アズ・ア・サービス #難読化技術

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚