DragonRank SEO-angreb
Trusselaktører er blevet observeret målrettet mod Internet Information Services (IIS)-servere i Asien som en del af en søgemaskineoptimerings- (SEO) manipulationskampagne. Angriberne bruger denne ordning til at implementere BadIIS , en trussel designet til at ændre webtrafik og omdirigere brugere til ulovlige destinationer.
Indholdsfortegnelse
Økonomisk motiverede omdirigeringer til ulovlige spillesteder
Kampagnen ser ud til at være profit-drevet, da kompromitterede servere leder intetanende brugere mod ulovlige gambling-websteder. De berørte IIS-servere er knyttet til forskellige institutioner, herunder offentlige myndigheder, universiteter, teknologifirmaer og telekommunikationsudbydere. De berørte regioner omfatter Indien, Thailand, Vietnam, Filippinerne, Singapore, Taiwan, Sydkorea, Japan og endda Brasilien.
Manipuleret trafik og truende omdirigeringer
Når først en server er kompromitteret, kan den vise ændret indhold til indkommende besøgende. Angriberne bruger denne kontrol til at implementere omdirigeringer til gamblingsider eller til at forbinde ofre til useriøs infrastruktur, der hoster usikker software eller sider til indsamling af legitimationsoplysninger. Denne teknik gør det muligt for cyberkriminelle at udnytte legitim webtrafik til økonomisk vinding eller yderligere cyberangreb.
DragonRank-forbindelsen
Forskere tilskriver denne aktivitet til en kinesisk-talende trusselgruppe kendt som DragonRank. Tidligere dokumenteret som udnyttelse af SEO-manipulationsstrategier, er DragonRank blevet forbundet med implementeringen af BadIIS malware. Beviser tyder på, at denne gruppe udviklede sig fra en tidligere trusselsaktør, kendt i cybersikkerhedskredse som Group 9, som har udnyttet IIS-servere til proxy-tjenester og SEO-svindel siden 2021.
Overlappende taktik med gruppe 11
Interessant nok afslører nyere undersøgelser, at de opdagede malware-artefakter har ligheder med en variant, der er knyttet til en anden enhed, Group 11. Denne version af BadIIS indeholder dobbelte funktioner: Den ene tilstand fokuserer på SEO-svindel, mens den anden injicerer mistænkelig JavaScript-kode i websvar for at manipulere besøgendes trafik.
Hvordan BadIIS omdirigerer ofre
BadIIS kan opsnappe og ændre HTTP-svarheaders fra de kompromitterede IIS-servere. Specifikt undersøger den felterne 'User-Agent' og 'Referer' i indgående HTTP-anmodninger. Hvis disse felter indeholder søgeportalwebsteder eller målrettede søgeord, omdirigerer malwaren brugere til et uautoriseret gamblingwebsted i stedet for den forventede legitime side. Denne målrettede omdirigering giver angribere mulighed for at udnytte organisk søgetrafik til deres egen fordel.
