中国系アクターに関連するSEOポイズニングキャンペーン

出典：Dave Hoeek / Shutterstock

東アジアおよび東南アジアのユーザーを標的とした検索エンジン最適化（SEO）ポイズニングキャンペーンが、BadIISと呼ばれる悪意あるネイティブInternet Information Services（IIS）モジュールを使用し、ウェブトラフィックを傍受・改ざんしています。

この攻撃は、特定されていないものの金銭目的の中国語話者の脅威アクターによるものとされており、正規の侵害されたサーバーを利用して訪問者に悪意あるコンテンツを配信しています。Palo Alto NetworksのUnit 42の研究者がこのキャンペーンを発見し、2025年3月から活動していることを明らかにしました。脅威アクターのコード内のオブジェクトの英訳にちなんで「Operation Rewrite」と名付けられたと、ブログ記事で火曜日に公表しました。

Unit 42の研究者がCL-UNK-1037として追跡しているこのキャンペーンは、侵害されたサーバーをリバースプロキシとして利用し、他のサーバーからコンテンツを取得して自分のものとして提示する中継サーバーとして機能します。攻撃者は、検索エンジンの結果を操作しトラフィックの流れを制御するという目的に合わせてカスタマイズされた複数のインプラントを攻撃シーケンスで使用していると、ブログ記事で述べられています。

「攻撃者はBadIISマルウェアを使って検索エンジンの結果を悪意を持って操作し、トラフィックを自分たちの選んだ宛先に誘導します」とUnit 42のシニア脅威ハンターであるYoav Zemah氏は記事で述べています。これらの宛先にはポルノやギャンブルサイトなどが含まれ、攻撃者は金銭的利益を得るためにユーザーにこれらを配信しようとしています。

「新しいウェブサイトの評価をゼロから構築するのは時間がかかり困難なため、攻撃者はすでに良好なドメイン評価を持つ確立された正規サイトを侵害するのです」と彼は説明しています。

攻撃者は検索結果を汚染するため、侵害したウェブサイトにインターネット検索でよく使われるキーワードやフレーズを注入し、サイトのSEOを改ざんして、より多くの人気検索クエリで検索結果に表示されるようにします。「その結果、これらの一般的な用語でウェブサイトのランキングが上昇し、より多くのトラフィックが汚染されたサイトに流れ込むのです」とZemah氏は記しています。

Unit 42はこのキャンペーンを、中国語話者の脅威アクターによるものとし、ESETの研究者がGroup 9として追跡している活動クラスターや、Cisco Talosが以前特定したSEO操作サービスプロバイダーDragonRankとの関連性がある可能性があるとしています。

CL-UNK-1037の追跡

Unit 42の研究者は、攻撃者がウェブサーバーへのアクセスを得てから複数の本番ウェブサーバーやドメインコントローラー、その他の「高価値ホスト」へと横展開したセキュリティ侵害を調査中に、初めてCL-UNK-1037を発見しました。

脅威アクターは、各侵害ウェブサーバーに追加のウェブシェルを展開し、リモートのスケジュールタスクを利用してネットワーク内を横断しました。また、システム上に新たなローカルユーザーアカウントも作成していたとブログ記事で述べられています。

「攻撃者は展開したウェブシェルを使って、ウェブアプリケーションのソースコードディレクトリ全体をZIPアーカイブに圧縮しました。その後、アーカイブをウェブからアクセス可能なパスに移動させました」とYemah氏は記しています。「これは攻撃者が後の段階でHTTP経由でZIPアーカイブを取得する意図があったことを強く示しています。」

ソースコードを流出させた後、攻撃者は複数の新しいDynamic Link Library（DLL）ファイルを侵害ウェブサーバーにアップロードしました。これらは後にBadIISインプラントであることが判明し、IISモジュールとして密かに登録されていました。

BadIISを用いた攻撃フロー

CL-UNK-1037のSEOポイズニングキャンペーンには主に2つのフェーズがあります。検索エンジンを悪意あるコンテンツに誘導する段階と、被害者を罠にかける段階です。最初のフェーズは、侵害されたウェブサーバーへのHTTPリクエストから始まり、BadIISインプラント（ウェブサーバーのリクエストパイプラインに直接統合され、サーバーの全権限を継承する悪意あるネイティブIISモジュールの総称）を使って、検索エンジンクローラーが設定リスト内のキーワードを含んでいるかを判別します。

もしキーワードが含まれている場合、モジュールはコマンド＆コントロール（C2）インフラに連絡し、SEO専用に設計されたカスタムのキーワード詰め込みHTMLを返します。BadIISモジュールはこの悪意あるHTMLを検索エンジンクローラーに提供し、クローラーはC2レスポンスで見つかった用語の関連ソースとして侵害サイトのURLをインデックス化し、「実質的に検索結果を汚染する」とYemah氏は説明しています。

これにより、被害者が汚染された検索結果をクリックするよう仕掛けが施されます。これは誰かがBadIISモジュールの設定リストにあるキーワードで検索した場合に発生します。汚染された検索結果をクリックすると、被害者は侵害されたウェブサイトに誘導されます。BadIISはリクエストを傍受し、それが検索エンジンであると識別すると、訪問者を被害者としてフラグ付けします。

その後、モジュールはC2サーバーに連絡して悪意あるコンテンツを取得し、通常は詐欺サイトへのリダイレクトを行います。BadIISモジュールはこのリダイレクトを被害者のブラウザにシームレスにプロキシし、被害者は本来訪問するはずだったウェブサイトの代わりに、攻撃者が管理するコンテンツに即座に誘導されると記事で説明されています。

犯人特定と対策

現時点で研究者たちは、この脅威アクターが既知の中国支援グループなのか新興グループなのかは確信が持てていませんが、前述の通りDragonRankとの類似点がいくつかあります。両活動クラスターは、ツールセットのコア機能やマルウェアの論理的な流れ、C2 URLに繰り返し現れる「zz」パターンなど、類似したURI構造を共有しています。

「このパターンは各キャンペーンで異なる使われ方をしていますが、ツールセットの進化やアップグレードの結果である可能性があると評価しています」とYemah氏は述べています。

Unit 42の投稿には、最近のSEOポイズニング活動による侵害指標（IOC）が多数掲載されており、BadIISインプラントのSHA256ハッシュ、ASPXファイルハンドラーSHA256、管理IISモジュールSHA256、PHPファイルハンドラーSHA256、脅威アクターのC2に関連するURLなどが含まれます。Yemah氏はまた、防御側には高度なURLフィルタリング、DNSセキュリティ、その他のエンドポイント保護を導入して侵害を防ぐことを推奨しています。