DragonRank SEO Attack
Uhkailijoiden on havaittu kohdistuvan Internet Information Services (IIS) -palvelimiin Aasiassa osana hakukoneoptimoinnin (SEO) manipulointikampanjaa. Hyökkääjät käyttävät tätä järjestelmää BadIIS- uhan käyttöönotossa, joka on suunniteltu muuttamaan verkkoliikennettä ja ohjaamaan käyttäjiä laittomiin kohteisiin.
Sisällysluettelo
Taloudellisesti motivoidut uudelleenohjaukset laittomille uhkapelisivustoille
Kampanja näyttää olevan voittohakuinen, koska vaarantuneet palvelimet ohjaavat hyväuskoisia käyttäjiä laittomille uhkapelisivustoille. Asianomaiset IIS-palvelimet on linkitetty useisiin instituutioihin, kuten valtion virastoihin, yliopistoihin, teknologiayrityksiin ja tietoliikennepalvelujen tarjoajiin. Vaikutusalueita ovat Intia, Thaimaa, Vietnam, Filippiinit, Singapore, Taiwan, Etelä-Korea, Japani ja jopa Brasilia.
Manipuloitu liikenne ja uhkaavat uudelleenohjaukset
Kun palvelin on vaarantunut, se voi tarjota muutettua sisältöä saapuville vierailijoille. Hyökkääjät käyttävät tätä ohjausobjektia toteuttaakseen uudelleenohjauksia uhkapelisivustoille tai yhdistääkseen uhrit epäturvalliseen infrastruktuuriin, joka isännöi vaarallisia ohjelmistoja tai tunnistetietojen keräämissivuja. Tämän tekniikan avulla kyberrikolliset voivat hyödyntää laillista verkkoliikennettä taloudellisen hyödyn tai uusien kyberhyökkäyksiä varten.
DragonRank-yhteys
Tutkijat selittävät tämän toiminnan kiinankielisen uhkaryhmän, joka tunnetaan nimellä DragonRank. DragonRank on aiemmin dokumentoitu hyödyntävän SEO-manipulaatiostrategioita, ja se on yhdistetty BadIIS-haittaohjelmien käyttöön. Todisteet viittaavat siihen, että tämä ryhmä on kehittynyt aikaisemmasta uhkatekijästä, joka tunnetaan kyberturvapiireissä nimellä Group 9 ja joka on hyödyntänyt IIS-palvelimia välityspalvelinpalveluihin ja SEO-petokseen vuodesta 2021 lähtien.
Päällekkäiset taktiikat ryhmän 11 kanssa
Mielenkiintoista on, että viimeaikaiset tutkimukset paljastavat, että havaitut haittaohjelmaartefaktit ovat samankaltaisia kuin versio, joka liittyy toiseen entiteettiin, Group 11. Tämä BadIIS-versio sisältää kaksi toimintoa: yksi tila keskittyy SEO-petokseen, kun taas toinen ruiskuttaa epäilyttävää JavaScript-koodia Web-vastauksiin kävijäliikenteen manipuloimiseksi.
Kuinka BadIIS uudelleenohjaa uhreja
BadIIS voi siepata ja muokata HTTP-vastausotsikoita vaarantuneista IIS-palvelimista. Erityisesti se tutkii saapuvien HTTP-pyyntöjen User-Agent- ja Referer-kentät. Jos nämä kentät sisältävät hakuportaalisivustoja tai kohdistettuja avainsanoja, haittaohjelma ohjaa käyttäjät luvattomalle uhkapelisivustolle odotetun laillisen sivun sijaan. Tämän kohdistetun uudelleenohjauksen avulla hyökkääjät voivat hyödyntää orgaanista hakuliikennettä omaksi hyödykseen.
