概要
Elastic Security Labs は、BADIIS マルウェアによって駆動される大規模な検索エンジン最適化 (SEO) 毒害キャンペーンにより、世界中の 1,800 台以上の Windows IIS サーバーが侵害されたと報告しています。この攻撃は、中国語を話すサイバー犯罪グループによって実行され、不法なオンラインカジノや成人向けコンテンツサイトへのリダイレクトを通じて利益を得ています。
被害の範囲
侵害されたサーバーには、政府機関、教育機関、およびアジア各国の企業組織が含まれます。特に中国とベトナムで 80% を超えるサーバーが影響を受けていることが確認されています。
BADIIS マルウェアの展開
攻撃者は、Windows IIS サーバーへの初期アクセスから BADIIS モジュールの完全な展開まで、わずか 20 分未満で完了します。この過程では、w3wp.exe のワーカープロセス下で実行されるウェブシェルを使用して開始されます。
マルウェアの詳細
BADIIS マルウェアは、悪意のある Windows サービスとして WalletServiceInfo をインストールし、プログラムデータディレクトリから署名なし DLL を読み込みます。セキュリティ監視ツール Elastic Defend は、このサービスの不審な動作と悪意のあるモジュールからの直接的なシステムコールを検出し、ユーザー モードのセキュリティフックを回避しようとする試みを示しています。
SEO 毒害攻撃
BADIIS モジュールは、User-Agent と Referer のヘッダーに基づいて異なるコンテンツを提供する条件付きインジェクションロジックを実装します。これにより、検索エンジンクローラーに対しては SEO コンテンツが返され、通常のユーザーに対してはギャンブルやフィッシングサイトへのリダイレクトが行われます。
結論
BADIIS スタイルの IIS SEO 毒害攻撃は継続的な脅威であり、防御者はこの脅威を単一のマルウェア株ではなく、持続的かつ進化する脅威ファミリーとして扱うべきです。