هجوم DragonRank SEO
لقد تم رصد جهات تهديد تستهدف خوادم خدمات معلومات الإنترنت (IIS) في آسيا كجزء من حملة التلاعب بتحسين محرك البحث (SEO). يستخدم المهاجمون هذا المخطط لنشر BadIIS ، وهو تهديد مصمم لتغيير حركة المرور على الويب وإعادة توجيه المستخدمين إلى وجهات غير مشروعة.
جدول المحتويات
عمليات إعادة التوجيه بدوافع مالية إلى مواقع المقامرة غير القانونية
ويبدو أن الحملة تهدف إلى تحقيق الربح، حيث تعمل الخوادم المخترقة على توجيه المستخدمين غير المنتبهين إلى مواقع المقامرة غير القانونية. وترتبط خوادم IIS المتضررة بمؤسسات مختلفة، بما في ذلك الوكالات الحكومية والجامعات وشركات التكنولوجيا ومقدمي خدمات الاتصالات. وتشمل المناطق المتضررة الهند وتايلاند وفيتنام والفلبين وسنغافورة وتايوان وكوريا الجنوبية واليابان وحتى البرازيل.
التلاعب بحركة المرور وتهديد إعادة التوجيه
بمجرد اختراق الخادم، قد يقدم محتوى معدلًا للزوار القادمين. يستخدم المهاجمون هذا التحكم لتنفيذ عمليات إعادة التوجيه إلى مواقع المقامرة أو لربط الضحايا ببنية تحتية غير آمنة تستضيف برامج غير آمنة أو صفحات حصاد بيانات الاعتماد. تسمح هذه التقنية لمجرمي الإنترنت باستغلال حركة الويب المشروعة لتحقيق مكاسب مالية أو شن المزيد من الهجمات الإلكترونية.
اتصال DragonRank
يعزو الباحثون هذا النشاط إلى مجموعة تهديد ناطقة بالصينية تُعرف باسم DragonRank. وقد تم توثيق DragonRank سابقًا على أنها تستفيد من استراتيجيات التلاعب بمحركات البحث، وقد تم ربطها بنشر برامج ضارة BadIIS. تشير الأدلة إلى أن هذه المجموعة تطورت من جهة تهديد سابقة، تُعرف في دوائر الأمن السيبراني باسم المجموعة 9، والتي كانت تستغل خوادم IIS لخدمات الوكيل والاحتيال في محركات البحث منذ عام 2021.
تكتيكات متداخلة مع المجموعة 11
ومن المثير للاهتمام أن التحقيقات الأخيرة تكشف أن آثار البرمجيات الخبيثة المكتشفة تحمل أوجه تشابه مع متغير مرتبط بكيان آخر، المجموعة 11. يتضمن هذا الإصدار من BadIIS وظيفتين: يركز أحد الوضعين على الاحتيال في تحسين محركات البحث، بينما يقوم الآخر بحقن كود JavaScript مشبوه في استجابات الويب للتلاعب بحركة الزوار.
كيف يقوم BadIIS بإعادة توجيه الضحايا
يستطيع BadIIS اعتراض وتعديل رؤوس استجابة HTTP من خوادم IIS المخترقة. وبشكل أكثر تحديدًا، يفحص BadIIS حقلي "User-Agent" و"Referer" ضمن طلبات HTTP الواردة. وإذا كانت هذه الحقول تحتوي على مواقع بوابات بحث أو كلمات رئيسية مستهدفة، فإن البرنامج الخبيث يعيد توجيه المستخدمين إلى موقع مقامرة غير مصرح به بدلاً من الصفحة الشرعية المتوقعة. ويسمح هذا التوجيه المستهدف للمهاجمين باستغلال حركة البحث العضوية لصالحهم.
