Source: https://thehackernews.com/2025/09/badiis-malware-spreads-via-seo.html
🛡 概要
BadIISと呼ばれるマルウェアを使用したSEOポイズニングキャンペーンが、中国語を話す脅威アクターによって実施されていることが報告されています。この攻撃は特にベトナムをターゲットとしており、サイバーセキュリティ研究者によって「Operation Rewrite」と名付けられました。Palo Alto NetworksのUnit 42によって追跡されているこの活動は、ESETやDragonRankによって「Group 9」と呼ばれる存在とインフラやアーキテクチャの重複があることが明らかになっています。
🔍 技術詳細
BadIISは、悪意のあるコンテンツを合法的なサーバーから訪問者に提供するために、HTTPウェブトラフィックを傍受および変更するように設計されています。このモジュールは、検索エンジンのクローラーからの訪問者を識別するためにUser-Agentヘッダーを検査し、外部サーバーに接続してSEOを変更するための毒されたコンテンツを取得します。この攻撃は、C2サーバーからの応答に基づいて、被害者のサイトを関連する検索結果としてインデックス化させるものです。具体的には、検索エンジンで検索した被害者が、合法的だが侵害されたサイトをクリックすることで、詐欺サイトにリダイレクトされる仕組みになっています。
⚠ 影響
この攻撃により、被害者は詐欺サイトに誘導され、個人情報や財務情報を盗まれるリスクが高まります。また、少なくとも1件の事例では、攻撃者が検索エンジンのクローラーを利用して他のシステムにアクセスし、新しいローカルユーザーアカウントを作成し、ウェブシェルを設置して持続的なリモートアクセスを確立したとされています。これにより、ソースコードの流出やBadIISのインプラントのアップロードが行われる可能性があります。
🛠 対策
企業や個人は、ウェブサイトのセキュリティを強化し、定期的に監査を行うことが重要です。また、SEOポイズニングのリスクを軽減するために、信頼できるセキュリティソリューションを導入し、悪意のあるトラフィックを検出するためのツールを使用することが推奨されます。さらに、検索エンジン結果の監視を行い、不審な動きがあれば迅速に対処することが求められます。
