2025年9月23日Ravie LakshmananSEOポイズニング / マルウェア
サイバーセキュリティ研究者は、BadIISと呼ばれるマルウェアを使用し、主にベトナムを中心とした東アジアおよび東南アジアを標的とする中国語話者の脅威アクターによる検索エンジン最適化(SEO)ポイズニングキャンペーンに注目を呼びかけています。
この活動はOperation Rewrite(オペレーション・リライト)と名付けられ、Palo Alto Networks Unit 42によってCL-UNK-1037という名称で追跡されています。”CL”はクラスター、”UNK”は動機不明を意味します。この脅威アクターは、ESETがGroup 9、およびDragonRankと呼ぶ組織とインフラやアーキテクチャの重複が確認されています。
「SEOポイズニングを実行するために、攻撃者は検索エンジンの結果を操作し、人々を予期しない、または望ましくないウェブサイト(例:ギャンブルやアダルトサイト)に誘導して金銭的利益を得ます」と、セキュリティ研究者のYoav Zemahは述べています。「この攻撃では、BadIISと呼ばれる悪意のあるネイティブInternet Information Services(IIS)モジュールが使われました。」
BadIISは、正規の侵害されたサーバーを利用してサイト訪問者に悪意のあるコンテンツを配信することを目的に、受信したHTTPウェブトラフィックを傍受・改ざんするよう設計されています。つまり、検索エンジンの結果を操作し、評判の良いドメインを持つ正規サイトにキーワードやフレーズを注入することで、トラフィックを攻撃者の望む場所に誘導するという仕組みです。
IISモジュールは、HTTPリクエスト内のUser-Agentヘッダーを検査することで検索エンジンクローラーからの訪問者を識別し、外部サーバーに接続してSEOを改ざんするための悪意あるコンテンツを取得し、コマンド&コントロール(C2)サーバーの応答に含まれる用語で被害サイトを検索エンジンに関連結果としてインデックスさせます。
このようにしてサイトがポイズニングされると、あとは検索エンジンでその用語を検索した被害者が、正規だが侵害されたサイトをクリックし、最終的に詐欺サイトへリダイレクトされるだけで計画が完了します。
Unit 42が調査した少なくとも1件の事例では、攻撃者が検索エンジンクローラーへのアクセスを利用して他のシステムへピボットし、新たなローカルユーザーアカウントを作成、ウェブシェルを設置して永続的なリモートアクセスを確立し、ソースコードの流出やBadIISインプラントのアップロードを行ったとされています。
「この仕組みはまず餌を仕掛け、その後罠を発動させます」とUnit 42は述べています。「餌は、攻撃者が操作したコンテンツを検索エンジンクローラーに与えることで作られます。これにより、侵害されたウェブサイトが本来関係のない追加の用語でも検索上位に表示されるようになります。侵害されたウェブサーバーはリバースプロキシとして機能し、他のサーバーからコンテンツを取得して自分のものとして提示します。」
脅威アクターが攻撃で使用した他のツールには、BadIISモジュールの3つの異なるバリアントが含まれます:
- リモートC2サーバーから悪意のあるコンテンツをプロキシし、同様にSEOポイズニングを実現する軽量なASP.NETページハンドラー
- アプリケーションを通過するすべてのリクエストを検査・改ざんし、別のC2サーバーからスパムリンクやキーワードを注入できるマネージド.NET IISモジュール
- ユーザーリダイレクトと動的SEOポイズニングを組み合わせたオールインワンのPHPスクリプト
「脅威アクターは、すべてのインプラントを検索エンジンの結果を操作し、トラフィックの流れを制御するという目的に合わせて調整していました」とUnit 42は述べています。「直接的な言語的証拠、およびこのアクターとGroup 9クラスター間のインフラ・アーキテクチャ的な関連から、高い確信を持って中国語話者による活動であると評価しています。」
この情報公開は、ESETが以前未公開だったGhostRedirectorと呼ばれる脅威クラスターについて詳述した数週間後に行われました。GhostRedirectorは、主にブラジル、タイ、ベトナムにある少なくとも65台のWindowsサーバーを、SEO詐欺を促進するためのGamshenというコードネームの悪意あるIISモジュールで侵害することに成功しています。
翻訳元: https://thehackernews.com/2025/09/badiis-malware-spreads-via-seo.html