SEO投毒活动与中国黑客组织有关

在"Operation Rewrite"行动中，不明攻击者利用合法受损的Web服务器向访问者提供恶意内容以获取经济利益。

作者：Elizabeth Montalbano，特约撰稿人
2025年9月23日 · 5分钟阅读

一场搜索引擎优化（SEO）投毒活动正在针对东亚和东南亚用户，使用名为BadIIS的恶意原生Internet信息服务（IIS）模块来拦截和篡改网络流量。

该攻击被归因于一个未明确的、以经济利益为目的的中文威胁行为者，利用合法受损的服务器向访问者提供恶意内容。帕洛阿尔托网络Unit 42的研究人员发现了该活动，该活动自2025年3月以来一直活跃，他们将其称为"Operation Rewrite"，指的是威胁行为者代码中某个对象的英文翻译。

Unit 42研究人员将该活动追踪为CL-UNK-1037，使用受损服务器作为反向代理，充当从其他服务器获取内容并将其呈现为自己内容的中间服务器。根据博客文章，攻击者在攻击序列中使用了一系列定制植入程序，所有这些都针对"操纵搜索引擎结果和控制流量"的目标。

“攻击者使用BadIIS恶意软件恶意操纵搜索引擎结果，将流量引导至他们选择的目的地，“Unit 42高级威胁猎手Yoav Zemah在文章中写道。这些目的地包括色情或赌博网站，攻击者旨在通过这些网站向用户提供内容以获取经济利益。

相关阅读：伊朗关联黑客使用新恶意软件瞄准欧洲

“攻击者不是从头开始建立新网站的声誉（这是一个缓慢且具有挑战性的过程），而是入侵已经建立良好域名声誉的合法网站，“他解释道。

为了毒化搜索结果，攻击者向受损网站注入经常出现在互联网搜索中的关键词和短语，以改变网站的SEO，使其出现在更广泛的热门查询搜索结果中。“因此，网站在这些常用术语中的排名提高，为现在被毒化的网站带来更多流量，“Zemah写道。

Unit 42将该活动归因于一个中文威胁行为者，可能与ESET研究人员追踪为Group 9的活动集群以及思科Talos先前确定为DragonRank的SEO操纵服务提供商存在潜在联系。

追踪CL-UNK-1037

Unit 42研究人员在调查一次安全漏洞时首次发现了CL-UNK-1037，攻击者在该漏洞中获得了Web服务器的访问权限，然后在建立初步立足点后转向多个生产Web服务器、域控制器和其他"高价值主机”。

相关阅读：机场混乱显示第三方攻击的人类影响

威胁行为者在每个受损的Web服务器上部署了额外的Web shell，并使用远程计划任务在网络上横向移动。根据博客文章，他们还在系统上创建了新的本地用户帐户。

“攻击者使用他们部署的Web shell将整个Web应用程序源代码目录压缩成ZIP存档。然后他们将存档移动到Web可访问的路径中，“Yemah写道。“这强烈表明攻击者打算在后续阶段通过HTTP检索ZIP存档。”

在窃取源代码后，攻击者向受损的Web服务器上传了几个新的动态链接库（DLL）文件——后来被揭示为BadIIS植入程序——并静默地将它们注册为IIS模块。

使用BadIIS的攻击流程

CL-UNK-1037的SEO投毒活动有两个主要阶段：引诱搜索引擎访问恶意内容，然后诱捕受害者。第一阶段始于传入的HTTP请求访问受损的Web服务器，然后使用BadIIS植入程序——一个统称，指直接集成到Web服务器请求管道中并继承Web服务器完全权限的恶意原生IIS模块——来识别搜索引擎爬虫是否包含配置列表中的关键词。

相关阅读：零信任15年：为何比以往任何时候都更重要

如果涉及关键词，该模块会联系命令与控制（C2）基础设施以获取被毒化的内容，C2会提供一个定制的、填充关键词的HTML响应，该响应纯粹为SEO设计。然后，BadIIS模块将此恶意HTML提供给搜索引擎爬虫，爬虫将受损网站的URL索引为C2响应中找到的术语的相关来源，“有效地毒化了搜索结果，“Yemah解释道。

这为受害者点击被毒化的搜索结果设置了诱饵，当有人搜索出现在BadIIS模块配置列表中的关键词时就会发生这种情况。点击被毒化的搜索结果会将受害者指向受损网站。然后BadIIS拦截请求，如果它将请求识别为搜索引擎，则将访问者标记为受害者。

然后该模块联系C2服务器以检索恶意内容，最常见的是通过重定向到诈骗网站。根据文章，BadIIS模块然后将此重定向无缝代理到受害者的浏览器，而期望访问其所需网站的受害者立即被发送到攻击者控制的内容。

归因与缓解措施

目前，研究人员不确定该威胁行为者是已知的中国支持组织还是新兴组织，但如前所述，与DragonRank存在一些相似之处。这两个活动集群在其工具集中共享相似的核心功能和逻辑恶意软件流程，以及显示C2 URL中反复出现"zz"模式的类似URI结构。

“虽然该模式在每个活动中使用方式不同，但我们评估这可能是工具集随时间演变或升级的结果，“Yemah指出。

Unit 42的文章包括一长串最近SEO投毒活动的危害指标，包括BadIIS植入程序的SHA256哈希值；ASPX文件处理程序SHA256、托管IIS模块SHA256和PHP文件处理程序SHA256的哈希值；以及与威胁行为者C2关联的URL。Yemah还建议防御者部署高级URL过滤、DNS安全和其他端点保护以避免危害。

关于作者

Elizabeth Montalbano，特约撰稿人
Elizabeth Montalbano是一名自由撰稿人、记者和治疗性写作导师，拥有超过25年的专业经验。她的专业领域包括技术、商业和文化。Elizabeth此前曾在凤凰城、旧金山和纽约市作为全职记者生活和工作；她目前居住在葡萄牙西南海岸的一个村庄。在空闲时间，她喜欢冲浪、与她的狗一起徒步旅行、旅行、演奏音乐、瑜伽和烹饪。

查看更多来自Elizabeth Montalbano，特约撰稿人的内容

您可能还喜欢

网络攻击与数据泄露：马来西亚机场的网络中断对亚洲是一个警告
网络攻击与数据泄露：为何难以阻止不断上升的恶意TDS流量
网络攻击与数据泄露：网络钓鱼者在SharePoint内部伪装攻击造成"严重破坏”
网络攻击与数据泄露：Salt Typhoon利用电信基础设施中的思科设备

编辑选择

漏洞与威胁：‘Vane Viper’威胁组织与PropellerAds和商业实体有关
作者：Rob Wright，2025年9月16日 · 7分钟阅读
网络攻击与数据泄露：朝鲜组织使用军事ID深度伪造技术瞄准韩国
作者：Robert Lemos，特约撰稿人，2025年9月17日 · 4分钟阅读
应用程序安全：自我复制的’Shai-hulud’蠕虫针对NPM包
作者：Alexander Culafi，2025年9月16日 · 4分钟阅读

保持最新
了解最新的网络安全威胁、新发现的漏洞、数据泄露信息和新兴趋势。每日或每周直接发送到您的电子邮件收件箱。

订阅
2025年11月13日
在本次活动中，我们将研究网络犯罪和网络间谍活动中最活跃的威胁行为者，以及他们如何瞄准和渗透受害者。

立即预订座位
探索更多

Black Hat
Omdia
与我们合作
关于我们
广告
重印
加入我们
新闻通讯注册
关注我们

版权声明
版权所有 © 2025 TechTarget, Inc. d/b/a Informa TechTarget。本网站由Informa TechTarget拥有和运营，该组织是一个全球网络的一部分，该网络通知、影响并连接全球的技术买家和卖家。所有版权归其所有。Informa PLC的注册办公室位于5 Howick Place, London SW1P 1WG。在英格兰和威尔士注册。TechTarget, Inc.的注册办公室位于275 Grove St. Newton, MA 02466。

首页 | Cookie政策 | 隐私 | 使用条款