DragonRank SEO מתקפת
נצפו שחקני איומים מכוונים לשרתי שירותי מידע באינטרנט (IIS) באסיה כחלק ממסע מניפולציה של אופטימיזציה למנועי חיפוש (SEO). התוקפים משתמשים בתוכנית זו כדי לפרוס את BadIIS , איום שנועד לשנות את תעבורת האינטרנט ולהפנות משתמשים ליעדים לא חוקיים.
תוכן העניינים
הפניות ממניעים פיננסיים לאתרי הימורים לא חוקיים
נראה שהקמפיין מונחה רווחים, שכן שרתים שנפגעו מעבירים משתמשים תמימים לעבר אתרי הימורים לא חוקיים. שרתי IIS המושפעים מקושרים למוסדות שונים, כולל סוכנויות ממשלתיות, אוניברסיטאות, חברות טכנולוגיה וספקי תקשורת. האזורים המושפעים כוללים את הודו, תאילנד, וייטנאם, הפיליפינים, סינגפור, טייוואן, דרום קוריאה, יפן ואפילו ברזיל.
תנועה מניפולציה והפניות מאיימות
ברגע ששרת נפגע, הוא עשוי להציג תוכן שונה למבקרים הנכנסים. התוקפים משתמשים בבקרה זו כדי ליישם הפניות לאתרי הימורים או כדי לחבר קורבנות לתשתית סוררת המארחת תוכנה לא בטוחה או דפי איסוף אישורים. טכניקה זו מאפשרת לפושעי סייבר לנצל תעבורת אינטרנט לגיטימית לצורך רווח כספי או התקפות סייבר נוספות.
חיבור DragonRank
חוקרים מייחסים את הפעילות הזו לקבוצת איומים דוברת סינית הידועה בשם DragonRank. תועד בעבר כממנף אסטרטגיות מניפולציה של SEO, DragonRank נקשר לפריסת תוכנות זדוניות של BadIIS. עדויות מצביעות על כך שקבוצה זו התפתחה משחקן איומים מוקדם יותר, הידוע בחוגי אבטחת סייבר כקבוצה 9, אשר מנצלת שרתי IIS עבור שירותי פרוקסי והונאת SEO מאז 2021.
טקטיקות חופפות לקבוצה 11
מעניין לציין שחקירות אחרונות חושפות שחפצי תוכנה זדונית שזוהו נושאים דמיון לגרסה המשויכת לישות אחרת, קבוצה 11. גרסה זו של BadIIS כוללת פונקציונליות כפולה: מצב אחד מתמקד בהונאת SEO, בעוד השני מחדיר קוד JavaScript חשוד לתגובות אינטרנט כדי לתמרן את תעבורת המבקרים.
כיצד BadIIS מפנה קורבנות
BadIIS יכול ליירט ולשנות כותרות תגובת HTTP משרתי IIS שנפרצו. באופן ספציפי, הוא בוחן את השדות 'User-Agent' ו-'Referer' בתוך בקשות HTTP נכנסות. אם שדות אלה מכילים אתרי פורטל חיפוש או מילות מפתח ממוקדות, התוכנה הזדונית מנתבת את המשתמשים לאתר הימורים לא מורשה במקום לעמוד הלגיטימי הצפוי. הפנייה ממוקדת זו מאפשרת לתוקפים לנצל תעבורת חיפוש אורגנית לטובתם האישית.
