一场被称为“改写行动”的复杂网络攻击活动正通过一种名为搜索引擎优化(SEO)投毒的技术,主动劫持微软互联网信息服务(IIS)的网络服务器,以传播恶意内容。
帕洛阿尔托网络公司于2025年3月发现了这一行动,并高度确信其背后是一个说中文的威胁行为者,该行为者使用了一个名为BadIIS的恶意IIS模块。
该活动的主要目标是通过操纵搜索引擎结果,将毫无防备的用户引导至赌博和色情平台等不良网站,从而获取经济利益。
攻击者会入侵合法的、声誉良好的网站,将它们变成自己恶意活动的不知情渠道。
BadIIS恶意软件与搜索引擎优化投毒
此次行动的核心是BadIIS,这是一个针对微软IIS web服务器软件的恶意原生模块。该模块于2021年首次被发现,能够直接集成到web服务器的核心进程中,从而获得高级权限。
这种深度集成使恶意软件能够拦截、检查和修改所有传入和传出的网络流量。攻击者利用这种控制权注入恶意代码、重定向用户,并在不被轻易发现的情况下窃取敏感信息。
攻击者利用BadIIS实施搜索引擎优化投毒。他们没有构建新的恶意网站——这类网站很难在搜索引擎中获得高排名,而是入侵那些已经拥有良好声誉的成熟网站。
他们通过在被入侵网站的内容中植入热门搜索关键词,诱使谷歌和必应等搜索引擎在大量不相关的查询中对该网站进行排名。
“重写行动” campaign分为两个截然不同的阶段,其设计初衷先是欺骗搜索引擎,然后诱捕人类受害者。
- 诱惑阶段:当搜索引擎爬虫(如Googlebot)访问受感染的服务器时,攻击便开始了。BadIIS模块通过检查爬虫的
User-Agent头来识别爬虫,随后它会与命令与控制(C2)服务器通信,以获取富含关键词的有毒内容。这些内容仅提供给爬虫,导致搜索引擎为热门但不相关的词汇索引该合法网站。分析表明,攻击重点明确指向东亚和东南亚地区,涉及越南搜索引擎的关键词以及与非法足球流媒体服务相关的词汇。
- 诱捕阶段:一旦搜索结果被植入恶意内容,陷阱就布设好了。当用户点击恶意搜索结果时,BadIIS模块会通过检查
Referer头部将其识别为人类受害者。该模块不会显示预期的网页,而是再次联系C2服务器以获取指向诈骗网站的重定向链接。被入侵的服务器充当反向代理,将受害者无缝发送至攻击者控制的目标地址。
帕洛阿尔托网络公司已将这一被标记为CL-UNK-1037的活动集群与一个说中文的威胁组织关联起来。“重写行动”这一名称源于拼音“chongxiede”(重写),意为“改写”,该词是在恶意软件代码中作为一个对象名称被发现的。
进一步调查发现了更多的语言证据,包括用简体中文字符编写的代码注释。
该团伙的工具包不仅限于原生的BadIIS模块。调查发现了多个变体,这体现了该攻击者的适应能力。
其中包括轻量级的ASP.NET页面处理程序、托管的.NET IIS模块以及一体化的PHP脚本,所有这些都旨在通过不同的技术手段实现相同的搜索引擎优化投毒目标。
研究人员注意到,在基础设施和代码设计方面,与一个名为“9号组织”的公开追踪威胁集群存在显著重叠,并且在战术上与“龙榜”行动相似,这表明在更广泛的威胁行为者生态系统中存在关联。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
