СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 15:26
#ИБ

REF4033 и BADIIS: массовая SEO-атака на серверы IIS

В ноябре 2025 года Elastic Security Labs зафиксировала крупное вторжение, затронувшее многонациональную организацию в Юго‑Восточной Азии и связанное с преступной хакерской группировкой REF4033. Исследователи установили, что злоумышленники проводили масштабную кампанию по SEO poisoning, используя специализированное вредоносное ПО BADIIS, нацеленное на серверы Windows Internet Information Services (IIS).

«BADIIS работает как вредоносный модуль IIS с функциональностью, предназначенной для внедрения или перенаправления вредоносного SEO‑контента на основе определенных заголовков HTTP‑запросов».

Ключевые факты

  • Компрометация затронула более 1800 серверов Windows по всему миру.
  • Пострадавшие секторы: государственные учреждения, корпорации и образовательные организации.
  • Зафиксированные страны поражения включают Австралию, Китай и Индию (и другие регионы).
  • Первоначальный вектор доступа остаётся неизвестным; от успешного входа до контроля над сервером IIS прошло около 17 минут.
  • Технические методы согласуются с тактиками, описанными в фреймворке MITRE ATT&CK.

Хронология и методика атаки

Атака начиналась с неизвестного вектора, который позволил злоумышленнику установить веб‑оболочку в процессе IIS (w3wp.exe). Через неё проводилась разведка и дальнейшее развёртывание вредоносных компонентов.

Далее злоумышленник запускал серию промежуточных файлов, в результате чего на сервере появлялся основной исполняемый файл CbsMsgApi.exe. Внутри этого файла обнаружены элементы, указывающие на происхождение атаки (включая упрощённые китайские строки). CbsMsgApi.exe отвечает за установку дополнительных модулей, ключевой из которых — CbsMsgApi.dll.

CbsMsgApi.dll модифицирует конфигурации IIS для размещения и активации модулей BADIIS. Сам BADIIS функционирует как вредоносный модуль IIS и реализует логику внедрения или перенаправления SEO‑контента на основе определённых заголовков HTTP‑запросов, таких как User-Agent и Referer. Этот подход делает вредоносную активность малозаметной при обычном трафике и позволяет эффективно монетизировать компрометированную инфраструктуру (в частности, продвижение азартных игр и другой незаконной продукции).

Технические индикаторы и инфраструктура

  • Основные бинарные компоненты: CbsMsgApi.exe, CbsMsgApi.dll, модуль BADIIS.
  • Идентифицированы хэши SHA-256, подтверждающие наличие отдельных компонентов и их роль в жизненном цикле атаки.
  • Анализ инфраструктуры доменов выявил несколько серверов конфигурации и серверов контента, используемых кампанией — свидетельство многоуровневого и постоянного подхода к операциям.
  • Тактика: эксплуатация IIS, развёртывание web‑shell в процессе w3wp.exe, установка вредоносных модулей, динамическая инъекция/перенаправление SEO‑контента на основе HTTP‑заголовков.

Почему это опасно

Комбинация активного контроля над IIS‑процессом и модульной архитектуры вредоносного ПО позволяет злоумышленникам:

  • долго находиться в окружении незамеченными (stealth‑поведение);
  • динамически менять поведение в зависимости от входящих HTTP‑заголовков и условий запроса;
  • масштабно монетизировать доступ через SEO‑манипуляции и направлять трафик на вредоносные или мошеннические сайты.

Рекомендации по обнаружению и реагированию

  • Проверить процессы IIS (w3wp.exe) на наличие подозрительных веб‑оболочек и нестандартных сетевых соединений.
  • Искать на серверах файлы и сервисы с именами CbsMsgApi.exe и CbsMsgApi.dll, сверять найденные файлы по SHA‑256 с известными индикаторами (IOC).
  • Анализировать конфигурации IIS на предмет неожиданных модулей или изменений, особенно в секциях, отвечающих за обработку запросов и перенаправления.
  • Проверять журналы HTTP на аномалии: массовые перенаправления, условные ответы в зависимости от User-Agent или Referer, признаки SEO‑redirects.
  • Ограничить доступ к административным интерфейсам IIS, применять принцип наименьших привилегий и многофакторную аутентификацию там, где возможно.
  • Блокировать и мониторить домены/серверы конфигурации, связанные с кампанией, и оперативно обновлять черные списки.
  • Восстановить конфигурации из чистых бэкапов в случае подтверждённой компрометации и провести полную проверку целостности системы.

Вывод

Обнаруженная Elastic Security Labs кампания демонстрирует организованный, модульный и целенаправленный подход злоумышленников: использование уязвимых IIS‑серверов для масштабного SEO poisoning, скрытное внедрение через web‑shell в процессе w3wp.exe, установка компонентной цепочки (CbsMsgApi.exeCbsMsgApi.dllBADIIS) и эксплуатация HTTP‑заголовков для выборочной инъекции вредоносного контента. Технические детали и совпадение тактик с фреймворком MITRE ATT&CK указывают на целенаправленную и повторяющуюся операцию, требующую тщательной реакции со стороны администраторов IIS и команд по кибербезопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: