Исследователи в области кибербезопасности обратили внимание на кампанию SEO-отравления (search engine optimization poisoning), предположительно проводимую русскоязычным хакером, использующими вредоносное ПО под названием BadIIS в атаках, нацеленных на Восточную и Юго-Восточную Азию, и особенно на Вьетнам.
Эта активность, получившая название Operation Rewrite, отслеживается командой Unit 42 компании Palo Alto Networks как CL-UNK-1037, где "CL" означает кластер, а "UNK" — неизвестную мотивацию. Выяснилось, что злоумышленник использует ту же инфраструктуру и архитектурные подходы, что и группа под названием Group 9, описанная ранее исследователями ESET и DragonRank.
Модуль IIS может определять, что запрос исходит от поискового робота, анализируя заголовок User-Agent в HTTP-запросе. После этого он связывается с внешним сервером, чтобы получить «поддельн контент, который изменяет SEO-показатели сайта, заставляя поисковик индексировать его как релевантный по определённым ключевым словам.
После заражения сайтов схема работает следующим образом: пользователь ищет в поисковике определённый запрос, переходит по ссылке на легитимный, но скомпрометированный сайт и оказывается перенаправленным на мошеннический ресурс.
Дополнительные инструменты в арсенале злоумышленников
В ходе атак злоумышленники использовали три варианта модулей BadIIS:
Это раскрытие последовало всего через несколько недель после того, как ESET описала ранее не задокументированный кластер угроз под названием GhostRedirector, скомпрометировавший как минимум 65 Windows-серверов — в основном в Бразилии, Таиланде и Вьетнаме — с помощью вредоносного IIS-модуля под кодовым названием Gamshen, также предназначенного для SEO-мошенничества.
- Источник: https://thehackernews.com/2025/09/badiis-malware-spreads-via-seo.html
Эта активность, получившая название Operation Rewrite, отслеживается командой Unit 42 компании Palo Alto Networks как CL-UNK-1037, где "CL" означает кластер, а "UNK" — неизвестную мотивацию. Выяснилось, что злоумышленник использует ту же инфраструктуру и архитектурные подходы, что и группа под названием Group 9, описанная ранее исследователями ESET и DragonRank.
Как работает BadIIS
BadIIS предназначен для перехвата и изменения входящего HTTP-трафика с целью доставки вредоносного контента посетителям сайта через взломанные, но легитимные серверы. Проще говоря, злоумышленники манипулируют результатами поиска, чтобы направить пользователей на нужные им сайты, внедряя ключевые слова и фразы в легитимные сайты с хорошей репутацией домена.Модуль IIS может определять, что запрос исходит от поискового робота, анализируя заголовок User-Agent в HTTP-запросе. После этого он связывается с внешним сервером, чтобы получить «поддельн контент, который изменяет SEO-показатели сайта, заставляя поисковик индексировать его как релевантный по определённым ключевым словам.
После заражения сайтов схема работает следующим образом: пользователь ищет в поисковике определённый запрос, переходит по ссылке на легитимный, но скомпрометированный сайт и оказывается перенаправленным на мошеннический ресурс.
Захват доступа и установка веб-шеллов
В одном из инцидентов, расследованных Unit 42, злоумышленники использовали доступ к поисковому роботу, чтобы проникнуть в другие системы, создать новые локальные учётные записи пользователей и внедрить веб-шеллы для постоянного удалённого доступа, кражи исходного кода и загрузки дополнительных вредоносных модулей BadIIS.Дополнительные инструменты в арсенале злоумышленников
В ходе атак злоумышленники использовали три варианта модулей BadIIS:
- Облегчённый обработчик ASP.NET-страниц, который проксирует вредоносный контент с удалённого сервера C2, обеспечивая SEO-отравление.
- Управляемый .NET-модуль IIS, который может анализировать и изменять каждый HTTP-запрос, внедряя спам-ссылки и ключевые слова, полученные с другого C2-сервера.
- PHP-скрипт «всё в одном», совмещающий функции переадресации пользователей и динамического SEO-отравления.
Это раскрытие последовало всего через несколько недель после того, как ESET описала ранее не задокументированный кластер угроз под названием GhostRedirector, скомпрометировавший как минимум 65 Windows-серверов — в основном в Бразилии, Таиланде и Вьетнаме — с помощью вредоносного IIS-модуля под кодовым названием Gamshen, также предназначенного для SEO-мошенничества.
- Источник: https://thehackernews.com/2025/09/badiis-malware-spreads-via-seo.html