Если ваш IIS-сервер ведёт себя по-разному для Google и пользователей — это повод для проверки

В крупной сетевой инфраструктуре появились новые признаки масштабной подмены IIS-серверов, в ходе которой злоумышленники превратили сотни легитимных доменов в площадку для продвижения мошеннических сайтов. По данным команды WithSecure, операторы кампании WEBJACK развивают технику скрытого внедрения модулей BadIIS , используя их для манипуляции поисковой выдачей и последующей монетизации трафика.

Механизм основан на обмане поисковых роботов, которым подсовывается оптимизированный контент, в то время как обычным посетителям показываются оригинальные страницы или сообщения об ошибке. Такой подход позволяет сохранять внешний вид сайтов неизменным и при этом получать выгоду от перенаправления пользователей на казино и сервисы ставок.

Основой схемы стали внедряемые модули IIS под именами «fashttp.dll» и «cgihttp.dll», защищённые коммерческим упаковщиком Enigma. Они используют стандартную точку входа RegisterModule, регистрируя обработчики запросов, которые перехватывают обращения и формируют сторонние URL для вставки или перенаправления. Внутренние строки, пути к PDB-файлам и временные метки сборки указывают на недавнюю компиляцию и аккуратно собранную инфраструктуру. Всё это подтверждает связь с семейством BadIIS, для которого подобные приёмы характерны.

После успешного внедрения модули обслуживают поисковых роботов особым образом: подменяют страницы, создают новые пути на взломанном домене и отдают HTML с содержимым с серверов вроде «seo.667759.com» или «w3c.sneaws.com». Для обычных пользователей подмена остаётся незаметной.

Когда поисковик индексирует вставленные страницы, операторы получают доступ к высокому рейтингу и репутации взломанного ресурса. Затем трафик, пришедший из поисковой системы, перенаправляется на сайты азартных игр. Иногда модуль не подменяет страницу полностью , а только добавляет набор ссылок, полученных с управляющих серверов, причём список меняется каждый день для маскировки активности.

На скомпрометированных серверах обнаружен обширный набор инструментов, распространённых в китаеязычных сообществах пентестеров: загрузчики shellcode, внутренние сканеры, средства скрытия файлов, удалённого доступа и очистки журналов. Часть ПО оказалась заражена вирусом m0yv, что говорит о том, что операторы использовали сторонние сборки, не контролируя их чистоту. На отдельных узлах также работали маяки Cobalt Strike, направленные на внешние узлы и внутренние адреса через туннели SoftEther.

Исследование затронуло 112 доменов, преимущественно во Вьетнаме, а также в странах Латинской Америки и Азии. Среди пострадавших оказались государственные ресурсы, университеты и региональные порталы. В индексации обнаружены ключевые слова на вьетнамском, английском и испанском языках, что отражает ориентацию схемы на привлечение игроков из конкретных регионов. Ошибки PHP на серверах злоумышленников позволили увидеть архитектуру управляющих панелей, а также фрагменты комментариев и слов на китайском языке. Это соотносится с применяемыми инструментами и подтверждает происхождение группы.

Идентификация операторов затруднена, однако отдельные признаки пересекаются с активностью DragonRank, который уже замечался в похожих операциях. Тем не менее WEBJACK лишён ключевых элементов, характерных для этого коллектива, поэтому обе кампании пока рассматриваются как разные. Независимо от происхождения, активность демонстрирует, насколько опасной становится подмена модулей IIS: SEO-злоупотребления оказываются лишь частью возможных сценариев, поскольку присутствующие инструменты позволяют развивать атаки дальше, включая скрытность, сохранение контроля и запуск сторонних компонентов.

Для снижения рисков администраторам следует отслеживать появление незнакомых DLL-файлов в модулях IIS, контролировать сетевое поведение серверов и фиксировать различия между выводом для роботов и для обычных посетителей. Наличие XlAnyLoader, FScan, CnCrypt или утилит для очистки журналов в корпоративной сети может указывать на скрытое проникновение и требует оперативной проверки.