DragonRank SEO Attack
Παρατηρήθηκαν παράγοντες απειλών που στοχεύουν τους διακομιστές των Υπηρεσιών Πληροφοριών Διαδικτύου (IIS) στην Ασία ως μέρος μιας εκστρατείας χειραγώγησης βελτιστοποίησης μηχανών αναζήτησης (SEO). Οι εισβολείς χρησιμοποιούν αυτό το σχήμα για να αναπτύξουν το BadIIS , μια απειλή που έχει σχεδιαστεί για να τροποποιεί την κυκλοφορία Ιστού και να ανακατευθύνει τους χρήστες σε παράνομους προορισμούς.
Πίνακας περιεχομένων
Ανακατευθύνσεις με οικονομικά κίνητρα σε παράνομους ιστότοπους τζόγου
Η καμπάνια φαίνεται να βασίζεται στα κέρδη, καθώς οι παραβιασμένοι διακομιστές διοχετεύουν ανυποψίαστους χρήστες προς παράνομους ιστότοπους τζόγου. Οι επηρεαζόμενοι διακομιστές IIS συνδέονται με διάφορα ιδρύματα, συμπεριλαμβανομένων κρατικών υπηρεσιών, πανεπιστημίων, εταιρειών τεχνολογίας και παρόχων τηλεπικοινωνιών. Οι πληγείσες περιοχές περιλαμβάνουν την Ινδία, την Ταϊλάνδη, το Βιετνάμ, τις Φιλιππίνες, τη Σιγκαπούρη, την Ταϊβάν, τη Νότια Κορέα, την Ιαπωνία και ακόμη και τη Βραζιλία.
Χειραγωγημένη κυκλοφορία και απειλητικές ανακατευθύνσεις
Μόλις παραβιαστεί ένας διακομιστής, ενδέχεται να προβάλλει τροποποιημένο περιεχόμενο στους εισερχόμενους επισκέπτες. Οι εισβολείς χρησιμοποιούν αυτό το στοιχείο ελέγχου για να εφαρμόσουν ανακατευθύνσεις σε ιστότοπους τυχερών παιχνιδιών ή για να συνδέσουν τα θύματα σε αδίστακτη υποδομή που φιλοξενεί μη ασφαλές λογισμικό ή σελίδες συλλογής διαπιστευτηρίων. Αυτή η τεχνική επιτρέπει στους εγκληματίες του κυβερνοχώρου να εκμεταλλεύονται τη νόμιμη διαδικτυακή κίνηση για οικονομικό όφελος ή περαιτέρω κυβερνοεπιθέσεις.
Η σύνδεση DragonRank
Οι ερευνητές αποδίδουν αυτή τη δραστηριότητα σε μια κινεζόφωνη ομάδα απειλών γνωστή ως DragonRank. Το DragonRank, που είχε προηγουμένως τεκμηριωθεί ως μόχλευση στρατηγικών χειραγώγησης SEO, έχει συνδεθεί με την ανάπτυξη κακόβουλου λογισμικού BadIIS. Τα στοιχεία δείχνουν ότι αυτή η ομάδα εξελίχθηκε από έναν προηγούμενο παράγοντα απειλής, γνωστό στους κύκλους της κυβερνοασφάλειας ως Group 9, ο οποίος εκμεταλλεύεται διακομιστές IIS για υπηρεσίες μεσολάβησης και απάτη SEO από το 2021.
Αλληλεπικαλυπτόμενες τακτικές με την Ομάδα 11
Είναι ενδιαφέρον ότι πρόσφατες έρευνες αποκαλύπτουν ότι τα τεχνουργήματα κακόβουλου λογισμικού που εντοπίστηκαν έχουν ομοιότητες με μια παραλλαγή που σχετίζεται με μια άλλη οντότητα, την Ομάδα 11. Αυτή η έκδοση του BadIIS περιλαμβάνει διπλές λειτουργίες: η μία λειτουργία εστιάζει στην απάτη SEO, ενώ η άλλη εισάγει ύποπτο κώδικα JavaScript σε αποκρίσεις Ιστού για να χειριστεί την επισκεψιμότητα των επισκεπτών.
Πώς το BadIIS ανακατευθύνει τα θύματα
Το BadIIS μπορεί να υποκλέψει και να τροποποιήσει τις κεφαλίδες απόκρισης HTTP από τους παραβιασμένους διακομιστές IIS. Συγκεκριμένα, εξετάζει τα πεδία «User-Agent» και «Referer» στα εισερχόμενα αιτήματα HTTP. Εάν αυτά τα πεδία περιέχουν ιστότοπους πύλης αναζήτησης ή στοχευμένες λέξεις-κλειδιά, το κακόβουλο λογισμικό επαναδρομολογεί τους χρήστες σε έναν μη εξουσιοδοτημένο ιστότοπο τζόγου αντί για την αναμενόμενη νόμιμη σελίδα. Αυτή η στοχευμένη ανακατεύθυνση επιτρέπει στους εισβολείς να εκμεταλλεύονται την οργανική κίνηση αναζήτησης για δικό τους όφελος.
