Vào tháng 3 năm 2025, các nhà nghiên cứu của Unit 42 đã phát hiện ra một chiến dịch SEO poisoning tiên tiến có tên Operation Rewrite. Chiến dịch này được cho là do một nhóm tác nhân đe dọa nói tiếng Trung Quốc, được theo dõi với mã định danh CL-UNK-1037, thực hiện. Hoạt động này lợi dụng một module IIS gốc có tên BadIIS để thao túng lưu lượng truy cập của các công cụ tìm kiếm, từ đó làm nhiễm độc kết quả tìm kiếm và chuyển hướng người dùng hợp pháp đến các trang web lừa đảo hoặc có nội dung người lớn.
Operation Rewrite: Tổng quan về Chiến dịch SEO Poisoning
Operation Rewrite đại diện cho một hình thức tấn công phức tạp nhằm thao túng thứ hạng tìm kiếm và chuyển hướng người dùng. Bằng cách sử dụng các kỹ thuật SEO poisoning tinh vi, những kẻ tấn công đã đạt được mục tiêu đánh lừa cả công cụ tìm kiếm và người dùng cuối.
Kỹ thuật và Đặc điểm Kỹ thuật Chính
- Module BadIIS: Một module IIS gốc được thiết kế để tích hợp trực tiếp vào quy trình xử lý yêu cầu của IIS, cho phép truy cập và thao túng các yêu cầu HTTP đến.
- Thao túng Lưu lượng Truy cập Trình thu thập Thông tin: Module này được sử dụng để cung cấp nội dung giàu từ khóa cho các trình thu thập thông tin của công cụ tìm kiếm, giúp các trang web bị xâm nhập có được điểm số indexing credit cao cho các cụm từ tìm kiếm phổ biến.
- Chuyển hướng Người dùng Cuối: Khi người dùng hợp pháp nhấp vào kết quả tìm kiếm đã bị nhiễm độc, BadIIS sẽ chuyển hướng họ đến các trang web lừa đảo hoặc độc hại.
- Phạm vi Nhắm mục tiêu: Các cấu hình được quan sát cho thấy mục tiêu chính là khu vực Đông và Đông Nam Á, với các từ khóa trình thu thập thông tin như “viet”, “coccoc”, “timkhap”, cùng với các công cụ toàn cầu như Google và Bing.
BadIIS Module: Kỹ thuật Tấn công Chính
BadIIS là trung tâm của chiến dịch SEO poisoning này, hoạt động như một module IIS gốc. Việc tích hợp trực tiếp vào quy trình xử lý yêu cầu của IIS cấp cho nó các đặc quyền máy chủ đầy đủ, cho phép nó kiểm tra và thay đổi các yêu cầu HTTP một cách mạnh mẽ.
Cơ chế Hoạt động Hai Pha
Cuộc tấn công bằng BadIIS module diễn ra theo hai giai đoạn riêng biệt:
Pha 1: Poisoning Trình thu thập Thông tin (Crawler Poisoning)
- Khi một trình thu thập thông tin của công cụ tìm kiếm (ví dụ: Googlebot, Bingbot) truy cập một máy chủ bị xâm nhập, BadIIS sẽ chặn yêu cầu.
- Module này sau đó truy vấn máy chủ C2 (Command and Control) của nó để lấy nội dung HTML giàu từ khóa, thường liên quan đến cờ bạc, nội dung khiêu dâm, hoặc phát trực tuyến bất hợp pháp.
- Nội dung này được trả về cho trình thu thập thông tin, khiến trang web bị xâm nhập được lập chỉ mục cho các cụm từ tìm kiếm có lưu lượng truy cập cao. Điều này làm tăng thứ hạng SEO của trang web độc hại một cách giả tạo.
Pha 2: Chuyển hướng Nạn nhân (Victim Redirection)
- Khi một người dùng thực sự nhấp vào một kết quả tìm kiếm đã bị nhiễm độc và truy cập trang web bị xâm nhập, BadIIS sẽ nhận diện yêu cầu này thông qua tiêu đề Referer.
- Sau đó, nó tìm nạp một payload chuyển hướng từ máy chủ C2 của mình và chuyển hướng nạn nhân đến các trang web lừa đảo hoặc độc hại.
- Cơ chế hai pha này giúp tối đa hóa danh tiếng của tên miền trong mắt công cụ tìm kiếm, đồng thời che giấu mục đích xấu khỏi người dùng thông thường và các hệ thống phòng thủ, khiến việc phát hiện rủi ro bảo mật trở nên khó khăn hơn.
Các Biến thể BadIIS
Ngoài module gốc, các nhà nghiên cứu đã phát hiện ra ba biến thể bổ sung của BadIIS, thể hiện khả năng thích ứng của tác nhân đe dọa:
- ASP.NET C#: Biến thể này sử dụng ngôn ngữ lập trình C# cho môi trường ASP.NET, cho phép triển khai trong các ứng dụng web .NET.
- PHP: Một biến thể dựa trên PHP, có chứa các bình luận bằng tiếng Trung giản thể, cho phép hoạt động trên các máy chủ web chạy PHP.
- ASP Classic (VBScript): Biến thể này sử dụng VBScript, nhắm mục tiêu đến các môi trường ASP Classic cũ hơn.
Các biến thể này cho phép triển khai nhanh chóng trên nhiều môi trường hosting đa dạng và giúp tránh bị phát hiện bởi các công cụ săn lùng module gốc truyền thống. Điều này nhấn mạnh sự cần thiết của các biện pháp an ninh mạng toàn diện.
Kết nối với Các Chiến dịch Khác
Phân tích hạ tầng và kỹ thuật cho thấy Operation Rewrite có sự chồng lấn với các hoạt động độc hại đã được biết đến, khẳng định sự phức tạp của chiến dịch SEO poisoning này.
Liên kết với ESET Group 9
Chiến dịch Group 9 của ESET chia sẻ các kỹ thuật đăng ký module IIS giống hệt nhau (RegisterModule, OnBeginRequest, OnSendResponse) với BadIIS. Hơn nữa, có sự chồng lấn về các tên miền C2 (ví dụ: 008php[.]com, yyphw[.]com, 300bt[.]com), điều này xác nhận việc chia sẻ cơ sở mã hoặc hạ tầng cộng tác giữa CL-UNK-1037 và Group 9.
So sánh với Cisco Talos DragonRank
Mặc dù không có sự chồng lấn trực tiếp về tên miền liên kết CL-UNK-1037 với DragonRank của Cisco Talos, cả hai chiến dịch đều sử dụng logic SEO poisoning và proxying. Điều này gợi ý một sự phát triển công cụ theo hướng tiến hóa, nơi các kỹ thuật tấn công được cải tiến và tái sử dụng.
IOCs: Indicators of Compromise
Để hỗ trợ các nhà phân tích và nhóm bảo mật trong việc phát hiện và ứng phó với Operation Rewrite, dưới đây là danh sách các tên miền C2 được liên kết:
008php[.]comyyphw[.]com300bt[.]com
Chiến lược Phát hiện và Giảm thiểu Rủi ro
Để đối phó với các mối đe dọa như chiến dịch SEO poisoning này, các tổ chức cần triển khai các biện pháp bảo mật chủ động và nâng cao khả năng phát hiện. Việc tăng cường an ninh mạng là yếu tố then chốt.
Giám sát Hệ thống IIS
Các nhóm bảo mật cần theo dõi chặt chẽ việc đăng ký module IIS và các tác vụ theo lịch trình để phát hiện các mục bất thường. Bất kỳ module nào không được phép hoặc không rõ nguồn gốc đều phải được điều tra ngay lập tức. Cần thiết lập các quy trình kiểm tra tính toàn vẹn module nghiêm ngặt cho IIS security.
Ví dụ về cách kiểm tra module IIS có thể bao gồm việc xem xét file applicationHost.config hoặc sử dụng PowerShell:
# Liệt kê các module IIS được cài đặt
Get-WebGlobalModule
# Kiểm tra cấu hình website
Get-Website | ForEach-Object {
Write-Host "Website: $($_.Name)"
$_.Modules
}Ngoài ra, cần rà soát các scheduled tasks và registry keys liên quan đến IIS và các ứng dụng web để tìm kiếm dấu hiệu thay đổi hoặc bổ sung trái phép.
Giải pháp Bảo mật Nâng cao
Các giải pháp bảo mật tiên tiến có thể đóng vai trò quan trọng trong việc phát hiện và chặn các hoạt động độc hại liên quan đến chiến dịch SEO poisoning. Ví dụ, các sản phẩm như Palo Alto Networks’ Advanced WildFire, Advanced URL Filtering, Advanced DNS Security, và Cortex XDR có khả năng nhận diện và ngăn chặn việc truy xuất payload độc hại và lưu lượng proxy.
Các tổ chức nên xem xét triển khai các lớp bảo mật sau:
- Hệ thống Phát hiện và Ngăn chặn Xâm nhập (IDS/IPS): Cấu hình IDS/IPS để phát hiện các mẫu truy vấn và phản hồi HTTP bất thường, đặc biệt là các yêu cầu đến các máy chủ C2 đã biết.
- Giám sát Lưu lượng Mạng: Phân tích lưu lượng mạng để xác định các kết nối lạ hoặc bất thường từ máy chủ web đến các địa chỉ IP hoặc tên miền đáng ngờ.
- Quản lý Thông tin và Sự kiện Bảo mật (SIEM): Tích hợp nhật ký từ IIS, tường lửa, và các thiết bị bảo mật khác vào một hệ thống SIEM tập trung để phân tích và phát hiện các mối đe dọa tiềm ẩn.
Bằng cách hiểu rõ quy trình tấn công hai pha—nhiễm độc trình thu thập thông tin theo sau là chuyển hướng nạn nhân—và bộ công cụ ngày càng mở rộng của các implant dựa trên module gốc và script, các tổ chức có thể củng cố IIS security, thiết lập các kiểm tra tính toàn vẹn module nghiêm ngặt và chủ động săn tìm các mối đe dọa SEO poisoning tương tự. Điều này giúp giảm thiểu rủi ro bảo mật một cách đáng kể.
