Искали официальный сайт, но попали к мошенникам. Как это работает?

Команда Unit 42 компании Palo Alto Networks обнаружила масштабную кампанию поискового отравления под названием Operation Rewrite — злоумышленники, говорящие на китайском, внедряли в интернет-серверы наборы вредоносных компонентов семейства BadIIS и использовали скомпрометированные сайты как обратные прокси для подмены контента и перенаправления трафика на мошеннические ресурсы.

Активность привела к внедрению как нативных модулей IIS, так и лёгких скриптовых вариантов, а инфраструктура показала пересечения с ранее замеченным кластером Group 9 и сходства с сервисом DragonRank. Модули BadIIS интегрируются прямо в конвейер обработки запросов веб-сервера с правами платформы, что даёт им возможность перехватывать входящие запросы, подменять HTML для поисковых пауков и проксировать вредоносные ответы конечным пользователям.

В первой фазе злоумышленники отдавали поисковым краулерам «оптимизированные под запросы» страницы, получаемые с командных серверов, чтобы заставить поисковые системы индексировать скомпрометированный домен под нужные ключи. Во второй фазе реальным посетителям, пришедшим из поисковиков, сервер выдавал редирект или проксировал мошенническую загрузочную страницу — пользователь переходил не туда, куда ожидал.

Анализ кода показал явную региональную направленность на Южную и Юго-Восточную Азию: конфигурация содержит список ключевых слов и имён поисковых систем, а в перечне User-Agent/Referer фигурируют маркеры, связанные с Вьетнамом. Внутри DLL-семпла обнаружена инициализирующая функция RegisterModule, создающая объект с именем chongxiede — pinyin-транслитерация китайского слова 重写, что буквально означает «перезапись» или «переписать». Эта лингвистическая метка помогла проследить дополнительные образцы и инфраструктуру.

Помимо нативных модулей, обнаружены три варианта реализации: ASP.NET-обработчик страниц, управляемый .NET-модуль и универсальный PHP-скрипт. ASP.NET-вариант использует Page_Load для проверки Referer и проксирования контента, управляемый модуль перехватывает 404-запросы и может инъектировать ссылки прямо в живые страницы.

Тем временем, PHP-фронт-контроллер комбинирует генерацию фальшивых sitemap для Googlebot и динамическую подмену заголовков и контента, причём для мобильных запросов он дополнительно проверяет путь в URL и, при необходимости, проксирует содержимое с командного сервера.

Инфраструктура кампании включает множество C2-адресов и доменов семейства 008php[.]com, 300bt[.]com и yyphw[.]com, а также IP-адреса в азиатских сетях. Примеры наблюдаемых C2: hxxp://404.008php[.]com/zz/u.php, hxxp://103.6.235[.]26/xvn.html, hxxp://404.300bt[.]com/zz/u.php и hxxps://fb88s[.]icu/uu/tt.js. Совпадения в структуре URI и повторяющиеся поддомены указывают на технологическое заимствование с инструментарием Group 9; отдельные черты напоминают описание DragonRank, хотя прямых совпадений инфраструктуры с DragonRank не обнаружено.

В ходе расследования злоумышленники, получившие начальный доступ, разворачивали веб-шеллы на множестве серверов, создавали удалённые запланированные задания для бокового перемещения, добавляли локальные аккаунты и архивировали исходники веб-приложений в общедоступные каталоги для последующей выгрузки. После этого в веб-каталоги загружались DLL-файлы, регистрируемые как модули IIS — именно такие образцы идентифицированы как BadIIS.

Palo Alto Networks приводит список хэшей и индикаторов компрометации в своём отчёте и рекомендует использовать средства сетевой фильтрации, DNS-защиты и EDR-решения для обнаружения и блокировки доменов и загрузок, связанных с кампанией. Описанная тактика показывает, что злоумышленники предпочитают эксплуатировать репутацию легитимных ресурсов, превращая доверенные площадки в инструмент массового перенаправления трафика и мошенничества.