はじめに
2025 年 11 月、Elastic Security Labs は東南アジアに拠点を置く多国籍組織に影響を与える侵入を観測しました。このアクティビティの分析中に、私たちのチームは、Windows Web サーバーに BADIIS マルウェアを展開するために使用されるさまざまな侵害後の手法とツールを観察しました。これらの観察結果は、昨年のCisco TalosとTrend Microによる以前のレポートと一致しています。
この脅威グループはさらに多くの被害者を集めており、世界各国で大規模な SEO ポイズニング作戦を調整しています。当社がこの攻撃キャンペーンを調査した結果、オンラインギャンブルプラットフォームや暗号通貨スキームなどの違法ウェブサイトの広範なネットワークにユーザーをリダイレクトすることで、侵害を受けたサーバーから収益を得ることを目的とした、複雑で地理的にターゲットを絞ったインフラストラクチャが存在していることが判明しました。
重要なポイント
- Elastic Security Labsは、世界中でBADIISマルウェアを使ったIISサーバーを標的とした大規模なSEOポイズニングキャンペーンを観測し、1,800台以上のWindowsサーバーに影響を与えている。
- 侵害されたサーバーは、ギャンブル広告やその他の違法ウェブサイトでユーザーをターゲットにするために使用されるインフラストラクチャのネットワークを通じて収益化されます。
- 被害インフラには、オーストラリア、バングラデシュ、ブラジル、中国、インド、日本、韓国、リトアニア、ネパール、ベトナムの政府、様々な企業組織、教育機関が含まれます。
- この活動は、昨年10月にシスコ・タロスによって特定された脅威グループUAT-8099に該当し、トレンドマイクロの以前の報告とも一致している。
キャンペーン概要
REF4033 は、BADIIS と呼ばれる悪意のある IIS モジュールを使用して世界中で 1,800 台以上の Windows Web サーバーを侵害した大規模で組織的な SEO ポイズニング キャンペーンを実行した中国語を話すサイバー犯罪グループです。
キャンペーンは 2 段階のプロセスで実行されます。
- まず、検索エンジンのクローラーにキーワードを詰め込んだHTMLを提供して検索結果を汚染し、
- 次に、被害者を、違法ギャンブルプラットフォーム、ポルノ、Upbit取引所の不正なクローンなどの高度な暗号通貨フィッシングサイトからなる広大な「悪徳経済」へと誘導します。
このグループは、Web サーバーの要求処理パイプラインに直接統合される悪意のある IIS モジュールである BADIIS マルウェアを展開することで、正当な政府、教育、および企業のドメインの Web サーバーを乗っ取ります。この評判の高いインフラストラクチャは、検索エンジンのランキングを操作するために使用され、攻撃者が Web トラフィックを傍受して広範囲にわたる金融詐欺を助長することを可能にします。
侵入行為
2025 年 11 月、Elastic Security Labs は、未知の攻撃ベクトルによる Windows IIS サーバーからの侵害後のアクティビティを観察しました。この脅威アクターは迅速に行動し、最初のアクセスから IIS モジュールの展開まで 17 分以内に進みました。最初の列挙は、IIS ワーカー プロセス ( w3wp.exe ) で実行されている Web シェルを介して実行されました。攻撃者は最初の検出を実施し、その後新しいユーザー アカウントを作成しました。
アカウントが作成され、管理者グループに追加された直後に、 Elastic Defend は新しく作成された Windows サービスWalletServiceInfoに関連するいくつかのアラートを生成しました。サービスは署名されていない ServiceDLL ( C:\ProgramData\Microsoft\Windows\Ringtones\CbsMsgApi.dll ) をロードし、その後モジュールから直接システムコールを実行しました。
次に、脅威の攻撃者がD-Shield Firewallと呼ばれるプログラムを使用してアクセスを強化していることがわかりました。このソフトウェアは、予防的保護やネットワーク制限を追加する機能など、IIS サーバーに追加のセキュリティ機能を提供します。調査を進めるために、ローダー ( C:\ProgramData\Microsoft\Windows\Ringtones\CbsMsgApi.exe ) の観察された imphash ( 1e4b23eee1b96b0cc705da1e7fb9e2f3 ) を使用して、VirusTotal からローダーサンプルを取得し、分析を行いました。
このローダーが使用する悪意のある DLL のサンプルを収集するために、名前 ( CbsMsgApi.dll ) で VirusTotal検索を実行しました。同じファイル名を使用して送信されたサンプルが 7 見つかりました。この背後にいるグループは、2024 年 9 月から同様のコードベースを使用していたようです。これらのサンプルのほとんどは、静的および動的分析を妨害するために、商用コード難読化フレームワークであるVMProtectを使用しています。幸いなことに、私たちは古い、保護されていないサンプルを使用して、この攻撃チェーンに関するさらなる洞察を得ることができました。
コード分析 - CbsMsgApi.exe
このグループは、悪意のある IIS モジュールを展開するために攻撃者がステージングした複数のファイルを必要とする攻撃ワークフローを採用しています。実行チェーンは、PE 実行可能ファイルCbsMsgApi.exeから始まります。このファイルには、PDB 文字列 ( C:\Users\Administrator\Desktop\替换配置文件\w3wpservice-svchost\x64\Release\CbsMsgApi.pdb ) を含む中国語簡体字の文字列が含まれています。
起動後、このプログラムは、この永続化手法と同様に、 svchost.exeで実行される ServiceDLL ( CbsMsgApi.dll ) を構成する Windows サービスWalletServiceinfo,を作成します。
この新しく作成されたサービスは、次のコマンドラインを使用してサービスのセキュリティ記述子を変更することにより、ステルス性と改ざん防止に重点を置いています。
sc sdset "WalletServiceInfo" "D:(D;;DCLCWPDTSD;;;IU)(D;;DCLCWPDTSD;;;SU)(D;;DCLCWPDTSD;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"コード分析 - CbsMsgApi.dll
この攻撃シーケンスの主なコンポーネントは ServiceDLL ( CbsMsgApi.dll ) です。悪意のある DLL は、BADIIS IIS ネイティブ モジュールをステージングし、IIS 構成を変更して、それらを DefaultAppPool の要求パイプラインにロードします。
この攻撃中、脅威の攻撃者はSystem32\driversフォルダ内に偽装した 3 つのファイルを準備します。
C:\Windows\System32\drivers\WUDFPfprot.sysC:\Windows\System32\drivers\WppRecorderpo.sysC:\Windows\System32\drivers\WppRecorderrt.sys
これらのファイルのうち 2 つ ( WppRecorderrt.sys 、 WppRecorderpo.sys ) は、悪意のある 32 ビット/64 ビット BADIIS モジュールを表します。もう一方のファイル ( WUDFPfprot.sys ) は、IIS の既存の構成に挿入される構成要素を表します。以下は、分析中に使用した構成の例です。注目すべきはモジュール名WsmRes64です (この DLL の詳細については、以下の IIS モジュール分析 ( WsmRes32.dll / WsmRes64.dll ) セクションを参照してください)。
<globalModules>
<add name="WsmRes64" image="C:\Windows\Microsoft.NET\Framework\WsmRes64.dll" preCondition="bitness64" />
</globalModules>
<modules>
<add name="WsmRes64" preCondition="bitness64" />
</modules>マルウェアはCopyFileA関数を使用して、偽装されたファイルの内容を .NET ディレクトリ ( C:\Windows\Microsoft.NET\Framework ) に移動します。
次に、マルウェアはDefaultAppPool.configファイルを解析し、各ノードを調べて<globalModules>ノードと<modules>ノードを更新します。モジュールは、以前にマスカレードされたファイル ( WUDFPfprot.sys ) から構成コンテンツを挿入し、一連の追加操作を通じて IIS 構成を更新します。
以下は、BADIIS DLL を参照する新しく追加されたグローバル モジュール エントリの例です。
実行が成功すると、BADIIS モジュールが IIS サーバーにインストールされ、 w3wp.exeワーカー プロセスに読み込まれたモジュールとして表示されるようになります。
IIS モジュール分析 (WsmRes32.dll / WsmRes64.dll)
次のセクションでは、BADIIS モジュールの機能について説明します。これらのモジュールは、User-Agent または Referer ヘッダー値などの基準に基づいて、悪意のある SEO コンテンツの条件付き挿入またはリダイレクトを容易にします。この技術により、通常の使用中に悪意のあるコンテンツが隠されたままになり、モジュールが可能な限り検出されない状態を維持できるようになります。
初期化時に、モジュールは構成で定義された URL からコンテンツをダウンロードします。これらの URL は暗号化された形式で保存され、キー「 1111111122222222”を使用して ECB モードのSM4 algorithm (中国の国家標準ブロック暗号) を使用して復号化されます。古いサンプルでは、代わりに AES-128 ECB アルゴリズムが使用されていました。
構成内の各 URL は、第 2 段階のリソースを含む静的な.txtファイルを指します。以下のリストに、これらのソース ファイルとその特定の役割の詳細を示します。
| 設定URLの例 | ファイル名 | コンテンツの説明 |
|---|---|---|
hxxp://kr.gotz003[.]com/krfml/krfmlip.txt | *fmlip.txt | リクエストのフィルタリングに使用されるサブネットをリストする偽の CSS ファイルgoogle.cssを指す URL が含まれています。 |
hxxp://kr.gotz003[.]com/krfml/krfmltz.txt | *fmltz.txt | ユーザーのリダイレクトに使用されるターゲット URL へのリンクが含まれます。 |
hxxp://kr.gotz003[.]com/krfml/krfmllj.txt | *fmllj.txt | 注入を目的とした悪意のある SEO バックリンクへのリンクが含まれています。 |
hxxp://kr.gotz003[.]com/krfml/krfmldz.txt | *fmldz.txt | SEO コンテンツ ジェネレーターへのリンクが含まれています。 |
これらの URL は、対応する国コードが先頭に付いた地域固有のファイルを指します。上記の例は韓国 ( hxxp://kr.domain.com ) に焦点を当てていますが、ベトナム (VN) などの他の地域にも同等のファイルが存在し、ファイル名の先頭には「 kr" ( hxxp://vn.domain.com )」ではなく「 "vn" 」が付きます。
BADIIS モジュールは、要求処理パイプライン内に登録され、最初のハンドラーと最後のハンドラーの両方として配置されます。モジュールはリクエストごとに特定のプロパティを検証し、その結果に基づいて挿入またはリダイレクト戦略を選択します。注射には3つの種類があります:
| 送信元 | 注入方法 | 説明 |
|---|---|---|
*fmltz.txt | 全ページ置き換え | プログレスバー付き HTML ローダー + 自動リダイレクト + Google Analytics トラッキング |
*fmldz.txt | 全ページ置き換え | SEOコンテンツへの直接リンク、構築済み index.php?domain=<host>&uri=<original_link> |
*fmllj.txt | インライン注入 | 既存のレスポンスの<body>または<html>タグの後に SEO バックリンクが挿入されました |
ボットと人間のトラフィックを区別するために、モジュールは次のリファラーとユーザー エージェントのリストをチェックします。
リファラー: bing 、 google 、 naver 、 daum
ユーザーエージェント: bingbot 、 Googlebot 、 Yeti 、 Daum
デフォルトのインジェクション戦略は、侵害されたサイト上の正当なページにアクセスする検索エンジン クローラーをターゲットにします。
このシナリオでは、SEO バックリンクがセカンダリ リンクから取得され、検索エンジン ボットによってクロールされるページに挿入されます。感染したページに挿入されるダウンロードされたバックリンクは、主にドメイン内の他のローカル ページをターゲットにしていますが、残りは他の感染したドメイン上のページを指します。これは、相互にリンクして検索ランキングを操作する大規模なサイト ネットワークを作成することを含む、リンク ファーミング戦略の重要な側面です。
バックリンクによってリンクされているローカル ページは感染したドメインには存在しないため、そこにアクセスすると 404 エラーが発生します。ただし、リクエストが傍受されると、マルウェアはステータス コードが 200 または 3xx ではないかどうか、およびブラウザーの User-Agent がクローラー ボットと一致するかどうかという 2 つの条件をチェックします。そうであれば、そのインフラストラクチャでホストされている SEO ページからコンテンツをダウンロードし(構成 URL の*fmldz.txtファイル内のリンク経由)、ボットに 200 応答コードを返します。このターゲット URL は、感染したドメイン名とクローラーが最初にアクセスしようとしたリソースを含む「domain」および「uri」パラメータを使用して構築されます。
最後に、ユーザーが存在しないページを要求し、マルウェアによってリストされた Referer ヘッダー値を持つページが到着した場合、そのページは 3 番目の種類のコンテンツ、つまり読み込みバーのあるランディング ページに置き換えられます。このページでは、JavaScript を使用して、構成リンクを介して取得された*fmltz.txtファイルに含まれるリンクにユーザーをリダイレクトします。
オプションで有効にすると、User-Agent が携帯電話と一致する場合にのみリクエストが実行され、サーバーがモバイル ユーザーのみをターゲットとするようになります。
モバイル ユーザー エージェントのリストは次のとおりです。
デバイス: iPhone、 iPad 、 iPod 、 iOS 、 Android 、 uc (UC Browser) 、 BlackBerry 、 HUAWEI
このオプションが有効になっていて、感染したサーバーの IP アドレスが*fmlip.txtファイルからダウンロードされたgoogle.cssファイル内のサブネット リストと一致する場合、サーバーはランディング ページまたはリダイレクト ページではなく標準の SEO コンテンツを提供します。
ランディング ページには、リダイレクトを監視するための分析タグ (対象地域に応じて Google Analytics または Baidu Tongji のいずれか) を含む JavaScript コードが含まれています。トラフィックを制限するためにサーバー IP フィルタリングを使用する正確な理由は不明ですが、これらの分析と関連しており、SEO の目的で実装されているのではないかと推測しています。
キャンペーン全体で次の Google タグが特定されました。
G-2FK43E86ZMG-R0KHSLRZ7N
Baidu Tongji タグも同様です:
B59ff1638e92ab1127b7bc76c7922245
キャンペーン分析
URL パターン ( <country_code>fml__.txt 、 <country_code>fml/index.php ) の類似性に基づいて、次のドメインを構成サーバーとして使用していた、2023 年半ばにまで遡る古いキャンペーンを発見しました。
tz123[.]apptz789[.]app
tz123[.]app 2024 に公開されたトレンドマイクロの BADIISキャンペーン概要IOC リストで公開されました。ul_cache.dllという名前でhxxp://tz789[.]app/brfmljs[.]txtと通信するサンプルの VT での最初の送信日に基づいて、いくつかはファイル名WsmRes64.dllでも送信されています。この命名規則は、前のセクションで分析した BADIIS ローダー コンポーネントと一致しています。VT で発見された最も古いサンプルは、2023 年 12 月 12 日に初めて送信されました。
REF4033 の場合、インフラストラクチャは 2 つの主要な構成サーバーに分割されます。
- 最近のキャンペーン (
gotz003[.]com): 現在、主要な構成ハブとして機能しています。さらに分析した結果、国コード別に分類されたアクティブなサブドメインが 5 見つかりました。kr.gotz003[.]com(韓国)vn.gotz003[.]com(ベトナム)cn.gotz003[.]com(中国)cnse.gotz003[.]com(中国)bd.gotz003[.]com(バングラデシュ)
- レガシー インフラストラクチャ (
jbtz003[.]com): 古いキャンペーン反復で使用されていますが、いくつかのサブドメインは引き続き動作します。 br.jbtz003[.]com(ブラジル)vn.jbtz003[.]com(ベトナム)vnbtc.jbtz003[.]com(ベトナム)in.jbtz003[.]com(インド)cn.jbtz003[.]com(中国)jp.jbtz003[.]com(日本)pk.jbtz003[.]com(パキスタン)
本質的に、最近の攻撃は、ユーザーを違法なウェブサイトの広大なネットワークにリダイレクトすることで、侵害を受けたサーバーから収益を得るというものだ。このキャンペーンは、規制されていないオンラインカジノ、ポルノストリーミング、売春サービスの露骨な広告など、アジアの視聴者をターゲットにした悪徳経済に多額の投資を行っています。
それはまた、直接的な経済的脅威をもたらします。一例として、韓国最大の暗号通貨取引所 Upbit を装った、 uupbit[.]topでホストされている不正な暗号通貨ステーキング プラットフォームが挙げられます。
キャンペーンのターゲティング ロジックは、侵害されたインフラストラクチャの地理をほぼ反映しており、サーバーの場所とユーザーのリダイレクト ターゲットの間に相関関係を確立します。たとえば、中国で侵害されたサーバーはトラフィックを地元のギャンブル サイトに誘導し、韓国のサーバーは不正な Upbit フィッシング サイトにリダイレクトします。このパターンの例外は、バングラデシュの侵害されたインフラストラクチャで、攻撃者は HTTP リダイレクトを非ローカルのベトナムのギャンブル サイトを指すように構成しました。
クラスター全体で、いくつかの異なるリダイレクト ロード ページが観察されました。以下は、VN 被害者のインフラストラクチャをターゲットとしたサンプルのユーザー リダイレクト テンプレートの例です。このテンプレートは Google タグを使用しており、Cisco Talos のUAT-8099 リサーチで説明されているテンプレートの 1 つと非常によく似ています。
以下のスニペットには、被害者のクラスター全体で観察されたより一貫性のあるテンプレート、特に進行状況バーのロジックが示されています。このサンプルはCN 被害者のインフラストラクチャをターゲットにしているため、被害者のリダイレクトを追跡するために Baidu Tongji が使用されます。
次のリストにあるバックリンクを含む URL から、侵害されたサーバーのクラスター (一部重複あり) がいくつか発見されました。
http://kr.gotz001[.]com/lunlian/index.phphttp://se.gotz001[.]com/lunlian/index.phphttps://cn404.gotz001[.]com/lunlian/index.phphttps://cnse.gotz001[.]com/lunlian/index.phphttps://cn.gotz001[.]com/lunlian/index.phphttps://cn.gotz001[.]com/lunlian/indexgov.phphttps://vn404.gotz001[.]com/lunlian/index.phphttps://vn.gotz001[.]com/lunlian/index.phphttp://bd.gotz001[.]com/lunlian/index.phphttp://vn.jbtz001[.]com/lunlian/index.phphttps://vnse.jbtz001[.]com/lunlian/index.phphttps://vnbtc.jbtz001[.]com/lunlian/index.phphttps://in.jbtz001[.]com/lunlian/index.phphttps://br.jbtz001[.]com/lunlian/index.phphttps://cn.jbtz001[.]com/lunlian/index.phphttps://jp.jbtz001[.]com/lunlian/index.phphttps://pk.jbtz001[.]com/lunlian/index.php
REF4033 の範囲内では、世界中で 1800 以上のサーバーが影響を受けており、キャンペーンは明らかにアジア太平洋地域に地理的に集中しており、確認された侵害されたサーバー全体の約 82% (それぞれ 46.1% と 35.8%) を中国とベトナムが占めています。インド (3.9%)、ブラジル (3.8%)、韓国 (3.4%) でも二次的な集中が見られますが、これらはキャンペーン全体の影響範囲からすると少数派です。注目すべきは、侵害されたサーバーの約 30% が、Amazon Web Services、Microsoft Azure、Alibaba Cloud、Tencent Cloud などの主要なクラウド プラットフォーム上に存在していることです。残りの 70% の被害者は、地域の通信事業者に分散しています。
被害者のプロフィールは、政府機関、教育機関、医療機関、電子商取引プラットフォーム、メディア、金融サービスなど、さまざまな分野に及び、標的を絞った搾取ではなく、大規模な機会主義的な搾取を示しています。政府および行政システムは、少なくとも 5 国( .gov.cn 、 .gov.br 、 .gov.bd 、 .gov.vn 、 .gov.in 、 .leg.br )で特定された被害者の約 8% を占めています。
MITRE ATT&CK 経由の REF4033
Elasticは、 MITRE ATT&CK フレームワークを使用して、脅威がエンタープライズネットワークに対して使用する一般的な戦術、手法、手順を文書化します。
戦術(Tactics)
戦術は、テクニックまたはサブテクニックの理由を表します。 それは敵の戦術的な目標であり、行動を実行する理由です。
手法
手法は、敵対者がアクションを実行することによって戦術的な目標を達成する方法を表します。
- 公開アプリケーションの悪用
- サーバー ソフトウェア コンポーネント: IIS コンポーネント
- アカウントの作成: ローカルアカウント
- システムプロセスの作成または変更:Windowsサービス
- 実行フローのハイジャック: サービスレジストリの権限の脆弱性
- 難読化されたファイルまたは情報: ソフトウェアのパッキング
- マスカレード: 正当な名前または場所を一致させる
- システム情報の検出
REF4033の修復
予防
- 疑わしい Microsoft IIS ワーカーの子孫
- トークンのなりすましを使った権限昇格の可能性
- SeImpersonatePrivilegeによる権限昇格
- 署名されていないモジュールからの直接システムコール
- 疑わしい Windows サービス DLL の作成
- 疑わしいSvchostレジストリの変更
- セキュリティアカウントマネージャー(SAM)レジストリアクセス
ヤラ
Elasticセキュリティは、このアクティビティを識別するためのYARAルールを作成しました。
観測
この研究では、次の観測量について議論しました。
| すぐれた監視性 | タイプ | 名前 | 参考 |
|---|---|---|---|
055bdcaa0b69a1e205c931547ef863531e9fdfdaac93aaea29fb701c7b468294 | SHA-256の | CbsMsgApi.exe | サービスインストーラー |
2340f152e8cb4cc7d5d15f384517d756a098283aef239f8cbfe3d91f8722800a | SHA-256の | CbsMsgApi.dll | サービスDLL |
c2ff48cfa38598ad514466673b506e377839d25d5dfb1c3d88908c231112d1b2 | SHA-256の | CbsMsgApi.dll | サービスDLL |
7f2987e49211ff265378349ea648498042cd0817e131da41156d4eafee4310ca | SHA-256の | D_Safe_Manage.exe | D-Shield ファイアウォール |
1b723a5f9725b607926e925d1797f7ec9664bb308c9602002345485e18085b72 | SHA-256の | WsmRes64.idx | 64ビット BADIIS モジュール |
1f9e694cac70d089f549d7adf91513f0f7e1d4ef212979aad67a5aea10c6d016 | SHA-256の | WsmRes64.idx2.sc | 64ビット BADIIS モジュール |
c5abe6936fe111bbded1757a90c934a9e18d849edd70e56a451c1547688ff96f | SHA-256の | WsmRes32.idx | 32ビット BADIIS モジュール |
gotz003[.]com | ドメイン名 | BADIIS 構成サーバー (プライマリ) | |
jbtz003[.]com | ドメイン名 | BADIIS 構成サーバー(レガシー) | |
gotz001[.]com | ドメイン名 | BADIIS SEO コンテンツおよびバックリンク サーバー (プライマリ) | |
jbtz001[.]com | ドメイン名 | BADIIS SEO コンテンツおよびバックリンク サーバー (プライマリ) |
参照資料
上記の研究を通じて、以下のことが参照されました。