DragonRank SEO атака
Забелязани са заплахи, насочени към сървърите на Интернет информационните услуги (IIS) в Азия като част от кампания за манипулиране на оптимизация за търсачки (SEO). Нападателите използват тази схема, за да разположат BadIIS , заплаха, предназначена да променя уеб трафика и да пренасочва потребителите към незаконни дестинации.
Съдържание
Финансово мотивирани пренасочвания към незаконни сайтове за хазарт
Изглежда, че кампанията е насочена към печалба, тъй като компрометираните сървъри насочват нищо неподозиращи потребители към нелегални уебсайтове за хазарт. Засегнатите IIS сървъри са свързани с различни институции, включително държавни агенции, университети, технологични фирми и доставчици на телекомуникации. Засегнатите региони включват Индия, Тайланд, Виетнам, Филипините, Сингапур, Тайван, Южна Корея, Япония и дори Бразилия.
Манипулиран трафик и заплашителни пренасочвания
След като сървърът бъде компрометиран, той може да предоставя променено съдържание на входящите посетители. Нападателите използват този контрол, за да реализират пренасочвания към сайтове за хазарт или да свържат жертвите с измамна инфраструктура, хостваща опасен софтуер или страници за събиране на идентификационни данни. Тази техника позволява на киберпрестъпниците да експлоатират законен уеб трафик за финансова изгода или допълнителни кибератаки.
Връзката DragonRank
Изследователите приписват тази дейност на китайскоговоряща група за заплахи, известна като DragonRank. Документиран по-рано като използване на стратегии за манипулиране на SEO, DragonRank е свързан с внедряването на зловреден софтуер BadIIS. Доказателствата сочат, че тази група се е развила от по-ранен участник в заплаха, известен в кръговете по киберсигурност като Група 9, който експлоатира IIS сървъри за прокси услуги и SEO измами от 2021 г. насам.
Припокриващи се тактики с група 11
Интересното е, че скорошни разследвания разкриват, че откритите артефакти на зловреден софтуер имат прилики с вариант, свързан с друг обект, група 11. Тази версия на BadIIS включва двойни функционалности: единият режим се фокусира върху SEO измами, докато другият инжектира подозрителен JavaScript код в уеб отговорите, за да манипулира трафика на посетителите.
Как BadIIS пренасочва жертвите
BadIIS може да прихваща и променя заглавките на HTTP отговор от компрометираните IIS сървъри. По-конкретно, той проверява полетата „User-Agent“ и „Referer“ във входящите HTTP заявки. Ако тези полета съдържат портални сайтове за търсене или целеви ключови думи, злонамереният софтуер пренасочва потребителите към неоторизиран уебсайт за хазарт вместо към очакваната законна страница. Това насочено пренасочване позволява на атакуващите да експлоатират трафика от органично търсене за своя собствена изгода.
