Поделиться
Хакеры взламывают сервера Microsoft для кражи данных. Под ударом пользователи Android и iPhone
Группа UAT-8099 скомпрометировала множество IIS-серверов, чтобы эффективнее заманивать пользователей на сомнительные сайты. Конечной целью являются пользователи мобильных устройств под Android и Apple.
Накрутки как бизнес
Исследователи в области кибербезопасности Cisco Talos опубликовали исследование мошеннической кампании по SEO-накруткам, которую ведет киберпреступная группа с кодовым названием UAT-8099. Родным языком ее участников является китайский.
UAT-8099 эксплуатирует масштабный ботнет, состоящий из скомпрометированных серверов Microsoft IIS. Большинство заражений зафиксировано в Индии, Таиланде, Вьетнаме, Канаде и Бразилии, затронув университеты, технологические компании и телекоммуникационные провайдеры.
Конечной же целью являются пользователи мобильных устройств под Android и Apple.
Помимо мошенничества в области поисковой оптимизации (SEO) группировка также занимается кражей значимых учетных данных, файлов настроек и сертификатов безопасности.
«UAT-8099 манипулирует результатами поиска, используя в качестве основного инструмента проверенные и высокоценные IIS-серверы в целевых регионах», — заявил исследователь Cisco Talos Джоуи Чень (Joey Chen). — Группа обеспечивает себе постоянство присутствия, а затем изменяет SEO-рейтинги, используя вебшеллы, различные хакерские инструменты с открытым исходным кодом, Cobalt Strike и различные версии вредоноса BadIIS. Их автоматизированные скрипты настроены так, чтобы обходить средства защиты и маскировать активность».
«SEO-оптимизация — один из основных рекламных инструментов, обеспечивающих нормальное функционирование интернет-экономики. Но всегда находятся те, кто предпочитает использовать нелегитимные средства, так что накрутки SEO — это уже давно целая киберкриминальная индустрия, — отмечает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. — В случае UAT-8099 SEO-мошенничество может быть только одним из направлений их деятельности».
Очередность атак
После того как злоумышленники находят IIS-сервер с неисправленными уязвимостями или неправильными настройками функции загрузки файлов, они загружают «разведывательные шеллы» для сбора базовой системной информации. Затем они создают гостевую учетную запись, повышают свои привилегии до уровня администратора и задействуют средства удалённого администрирования, такие как RDP.
UAT-8099 используют RDP, а также GUI-инструмент Everything для поиска ценных данных на зараженных системах. Собранные данные упаковываются для перепродажи либо дальнейшего использования.
Хакеры также пытаются устранить точку входа, которой воспользовались изначально, чтобы сохранить полный контроль над заражёнными хостами и не допустить туда других злоумышленников. В качестве основного инструмента для постэксплуатации используется Cobalt Strike.
Постоянство доступа злоумышленники обеспечивают комбинацией RDP с VPN-инструментами — SoftEther VPN, EasyTier и/или Fast Reverse Proxy (FRP). На заключительной стадии в систему устанавливается вредонос BadIIS, в использовании которого ранее были замечены и другие китайские группы, в том числе DragonRank и Operation Rewrite (CL-UNK-1037). Однако нынешнюю версию отличают нововведения в коде, которые обеспечивают дополнительную защиту от средств обнаружения. Как указывают эксперты Talos, BadIIS функционирует в том же духе, что и другой вредонос — Gamshen: компонент, отвечающий за SEO-манипуляции активируется только тогда, когда запрос исходит от Google (т.е. User-Agent идентифицируется как Googlebot).
Три режима вредоноса
BadIIS может работать в трех режимах. В режиме Proxy вредонос распаковывает встроенный адрес контрольного сервера, и далее функционирует как прокси для получения данных со второго контрольного сервера. В режиме Injector он перехватывает запросы из результатов поиска Google, подключается к C2-серверу, получает JavaScript-код, внедряет его в HTML-ответ и перенаправляет жертву на нужный сайт (например, с нелегальной рекламой или азартными играми). В режиме SEO fraud несколько скомпрометированных IIS-серверов используются для создания искусственных обратных ссылок (backlinks) для повышения рейтинга нужных сайтов.
«Злоумышленники применяют традиционную SEO-технику, известную как backlinking, чтобы повысить видимость сайтов», — отметили в Talos. — Поисковая система Google использует обратные ссылки для обнаружения новых сайтов и оценки релевантности ключевых слов. Чем больше число обратных ссылок, тем выше вероятность того, что сканеры Google посетят сайт, что может ускорить рост позиций и повысить его видимость. Однако чрезмерное накопление ссылок низкого качества может привести к санкциям со стороны Google».
UAT-8099 пополняет список китайских группировок, занимающихся SEO-мошенничеством с целью получения прибыли. В сентябре компания ESET описывала аналогичную группировку GhostRedirector, которая скомпрометировала как минимум 65 серверов Windows IIS в Бразилии, Таиланде, Вьетнаме и других странах, используя вышеупомянутый Gamshen.
Короткая ссылка
