インターネット インフォメーション サービス(IIS)サーバーをグローバルに積極的に侵害する、BadIISマルウェアの特定の亜種を含む高度な活動。
攻撃は主にアジア太平洋地域を対象としていますが、研究者は北米、ヨーロッパ、南アフリカ全域での被害者も特定しています。
コード内に隠された「demo.pdb」文字列を特徴とするこのマルウェアは、単一の脅威アクターの仕業ではありません。
代わりに、証拠はBadIISが複数の中国語話者のサイバー犯罪シンジケートによって検索エンジン最適化(SEO)詐欺と悪意のあるトラフィック転送に利用される商用コモディティツールとして動作していることを示しています。
マルウェアに組み込まれたプログラムデータベース(PDB)文字列を分析することで、研究者は2021年9月から2026年1月までの継続的な開発タイムラインを特定しました。
これらのアーティファクトはデジタルフィンガープリントとして機能し、急速な更新の時期と特定の機能ブランチングを明らかにします。
作成者は検出を回避するためにマルウェアを積極的に修正し、サーバー管理者に警告する可能性のある問題をトラブルシューティングし、Nortonなどのアンチウイルスソフトウェアをバイパスするために設計された特定のバージョンを作成しています。
その核心において、BadIISエコシステムはサイバー犯罪者が4つの主要な機能を持つ悪意のあるペイロードを構成・生成できる専用ビルダーツールに依存しています。
このBadIIS亜種は、マルウェア・アズ・ア・サービス(MaaS)ビジネスモデルへの大きなシフトを表しています。
開発者はビルダーユーティリティとともにマルウェアの基本バージョンを販売しています。サイバー犯罪者が被害者のブラウザ言語に基づいたカスタムサイトハイジャッキングなどの高度な機能を必要とする場合、カスタムペイロードを要求できます。
脅威アクターはその後、ビルダーを使用して、シングルバイトXOR難読化を使用してこれらのカスタム設定を最終的なマルウェアファイルに直接埋め込みます。
これらのインストーラーの最新バージョンは、高度に回避的な2段階のプロセスを使用しています。まず、カスタムBase64エンコーディングを使用してC2サーバーで認証します。
次に、IISサーバー内に登録する前に、BadIISペイロードをプライマリディレクトリと隠されたバックアップディレクトリの両方にコピーします。
この堅牢な永続化メカニズムは、サーバーが再起動したり、セキュリティソフトウェアがプライマリファイルを削除したりしても、マルウェアが自動的に復元されることを保証します。
翻訳元: https://cyberpress.org/badiis-abuses-iis-redirection/