DragonRanki SEO rünnak
Täheldatud on ohutegureid, kes sihivad Aasias Interneti-teabeteenuste (IIS) servereid otsingumootori optimeerimise (SEO) manipuleerimiskampaania raames. Ründajad kasutavad seda skeemi BadIIS-i juurutamiseks, mis on loodud veebiliikluse muutmiseks ja kasutajate ebaseaduslikesse sihtkohtadesse suunamiseks.
Sisukord
Rahaliselt motiveeritud ümbersuunamised ebaseaduslikele hasartmängusaitidele
Kampaania näib olevat kasumipõhine, kuna ohustatud serverid suunavad pahaaimamatud kasutajad ebaseaduslike hasartmängude veebisaitidele. Mõjutatud IIS-i serverid on seotud erinevate institutsioonidega, sealhulgas valitsusasutuste, ülikoolide, tehnoloogiaettevõtete ja telekommunikatsiooniteenuste pakkujatega. Mõjutatud piirkondade hulka kuuluvad India, Tai, Vietnam, Filipiinid, Singapur, Taiwan, Lõuna-Korea, Jaapan ja isegi Brasiilia.
Manipuleeritud liiklus ja ähvardavad ümbersuunamised
Kui server on ohustatud, võib see sissetulevatele külastajatele edastada muudetud sisu. Ründajad kasutavad seda juhtelementi hasartmängusaitidele ümbersuunamiste rakendamiseks või ohvrite ühendamiseks ebaturvalise tarkvara või mandaatide kogumise lehtedega petturliku infrastruktuuriga. See tehnika võimaldab küberkurjategijatel kasutada legitiimset veebiliiklust rahalise kasu või edasiste küberrünnakute eesmärgil.
DragonRanki ühendus
Teadlased omistavad selle tegevuse hiinakeelsele ohurühmale, mida tuntakse DragonRank nime all. Varem dokumenteeritud kui SEO manipuleerimisstrateegiate võimendamist, on DragonRank seotud BadIIS-i pahavara juurutamisega. Tõendid viitavad sellele, et see rühm arenes välja varasemast ohutegijast, mida küberjulgeoleku ringkondades tuntakse 9. rühmana ja mis on alates 2021. aastast kasutanud IIS-i servereid puhverserveriteenuste ja SEO-pettuste jaoks.
Taktika kattumine 11. rühmaga
Huvitaval kombel näitavad hiljutised uuringud, et tuvastatud pahavara artefaktid sarnanevad teise üksuse, 11. rühmaga, seotud variandiga. See BadIIS-i versioon sisaldab kahte funktsiooni: üks režiim keskendub SEO-pettustele, teine aga sisestab veebivastustesse kahtlase JavaScripti koodi, et manipuleerida külastajate liiklusega.
Kuidas BadIIS ohvreid ümber suunab
BadIIS suudab kinni pidada ja muuta ohustatud IIS-i serverite HTTP vastuse päiseid. Täpsemalt uurib see sissetulevate HTTP-päringute välju „User-Agent” ja „Referer”. Kui need väljad sisaldavad otsinguportaali saite või sihitud märksõnu, suunab pahavara kasutajad eeldatava legitiimse lehe asemel volitamata hasartmängude veebisaidile. See sihitud ümbersuunamine võimaldab ründajatel orgaanilist otsinguliiklust enda huvides ära kasutada.
