DragonRank SEO útok
V rámci manipulační kampaně zaměřené na optimalizaci pro vyhledávače (SEO) byli pozorováni aktéři hrozeb, kteří se zaměřují na servery Internet Information Services (IIS) v Asii. Útočníci využívají toto schéma k nasazení BadIIS , hrozby určené ke změně webového provozu a přesměrování uživatelů na nelegální cíle.
Obsah
Finančně motivovaná přesměrování na stránky s nelegálním hazardem
Zdá se, že kampaň je řízena ziskem, protože napadené servery vedou nic netušící uživatele k nelegálním webovým stránkám s hazardními hrami. Dotčené servery IIS jsou propojeny s různými institucemi, včetně vládních agentur, univerzit, technologických firem a poskytovatelů telekomunikací. Mezi postižené regiony patří Indie, Thajsko, Vietnam, Filipíny, Singapur, Tchaj-wan, Jižní Korea, Japonsko a dokonce Brazílie.
Manipulovaný provoz a ohrožující přesměrování
Jakmile je server napaden, může příchozím návštěvníkům poskytovat pozměněný obsah. Útočníci používají tento ovládací prvek k implementaci přesměrování na stránky s hazardními hrami nebo k připojení obětí k podvodné infrastruktuře hostující nebezpečný software nebo stránky pro shromažďování přihlašovacích údajů. Tato technika umožňuje kyberzločincům využívat legitimní webový provoz pro finanční zisk nebo další kybernetické útoky.
Spojení DragonRank
Výzkumníci připisují tuto aktivitu čínsky mluvící skupině ohrožení známé jako DragonRank. DragonRank, dříve zdokumentovaný jako využití strategií manipulace SEO, byl spojen s nasazením malwaru BadIIS. Důkazy naznačují, že tato skupina se vyvinula z dřívějšího aktéra ohrožení, známého v kruzích kybernetické bezpečnosti jako Skupina 9, který od roku 2021 využívá servery IIS pro proxy služby a podvody v oblasti SEO.
Překrývání taktiky se skupinou 11
Je zajímavé, že nedávná vyšetřování odhalila, že detekované artefakty malwaru mají podobnosti s variantou spojenou s jinou entitou, Skupinou 11. Tato verze BadIIS obsahuje dvojí funkce: jeden režim se zaměřuje na podvody v oblasti SEO, zatímco druhý vkládá podezřelý kód JavaScript do webových odpovědí za účelem manipulace s návštěvností.
Jak BadIIS přesměrovává oběti
BadIIS může zachytit a upravit hlavičky odpovědí HTTP z napadených serverů IIS. Konkrétně zkoumá pole 'User-Agent' a 'Referer' v rámci příchozích požadavků HTTP. Pokud tato pole obsahují stránky vyhledávacích portálů nebo cílená klíčová slova, malware přesměruje uživatele na neoprávněnou webovou stránku s hazardními hrami namísto očekávané legitimní stránky. Toto cílené přesměrování umožňuje útočníkům využívat provoz z organického vyhledávání ve svůj vlastní prospěch.
