ड्रैगनरैंक एसईओ हमला
सर्च इंजन ऑप्टिमाइजेशन (SEO) हेरफेर अभियान के तहत एशिया में इंटरनेट सूचना सेवा (IIS) सर्वर को निशाना बनाने वाले खतरनाक तत्वों को देखा गया है। हमलावर इस योजना का उपयोग BadIIS को तैनात करने के लिए करते हैं, जो वेब ट्रैफ़िक को बदलने और उपयोगकर्ताओं को अवैध गंतव्यों पर पुनर्निर्देशित करने के लिए डिज़ाइन किया गया एक खतरा है।
विषयसूची
अवैध जुआ साइटों पर वित्तीय रूप से प्रेरित रीडायरेक्ट
यह अभियान लाभ-प्रेरित प्रतीत होता है, क्योंकि समझौता किए गए सर्वर बिना सोचे-समझे उपयोगकर्ताओं को अवैध जुआ वेबसाइटों की ओर ले जाते हैं। प्रभावित IIS सर्वर विभिन्न संस्थानों से जुड़े हुए हैं, जिनमें सरकारी एजेंसियां, विश्वविद्यालय, प्रौद्योगिकी फर्म और दूरसंचार प्रदाता शामिल हैं। प्रभावित क्षेत्रों में भारत, थाईलैंड, वियतनाम, फिलीपींस, सिंगापुर, ताइवान, दक्षिण कोरिया, जापान और यहां तक कि ब्राजील भी शामिल हैं।
ट्रैफ़िक में हेराफेरी और धमकी भरे पुनर्निर्देशन
एक बार सर्वर से छेड़छाड़ होने पर, यह आने वाले आगंतुकों को परिवर्तित सामग्री प्रदान कर सकता है। हमलावर इस नियंत्रण का उपयोग जुआ साइटों पर पुनर्निर्देशन को लागू करने या पीड़ितों को असुरक्षित सॉफ़्टवेयर या क्रेडेंशियल-हार्वेस्टिंग पृष्ठों की मेजबानी करने वाले दुष्ट बुनियादी ढांचे से जोड़ने के लिए करते हैं। यह तकनीक साइबर अपराधियों को वित्तीय लाभ या आगे के साइबर हमलों के लिए वैध वेब ट्रैफ़िक का शोषण करने की अनुमति देती है।
ड्रैगनरैंक कनेक्शन
शोधकर्ताओं ने इस गतिविधि का श्रेय ड्रैगनरैंक नामक एक चीनी-भाषी खतरे वाले समूह को दिया है। पहले SEO हेरफेर रणनीतियों का लाभ उठाने के रूप में प्रलेखित, ड्रैगनरैंक को BadIIS मैलवेयर की तैनाती से जोड़ा गया है। साक्ष्य बताते हैं कि यह समूह पहले के एक खतरे वाले अभिनेता से विकसित हुआ है, जिसे साइबर सुरक्षा हलकों में ग्रुप 9 के रूप में जाना जाता है, जो 2021 से प्रॉक्सी सेवाओं और SEO धोखाधड़ी के लिए IIS सर्वर का शोषण कर रहा है।
समूह 11 के साथ ओवरलैपिंग रणनीति
दिलचस्प बात यह है कि हाल ही में की गई जांच से पता चला है कि पता लगाए गए मैलवेयर आर्टिफैक्ट्स एक अन्य इकाई, ग्रुप 11 से जुड़े एक संस्करण के समान हैं। BadIIS के इस संस्करण में दोहरी कार्यात्मकताएं शामिल हैं: एक मोड SEO धोखाधड़ी पर ध्यान केंद्रित करता है, जबकि दूसरा विज़िटर ट्रैफ़िक में हेरफेर करने के लिए वेब प्रतिक्रियाओं में संदिग्ध जावास्क्रिप्ट कोड इंजेक्ट करता है।
BadIIS पीड़ितों को कैसे पुनर्निर्देशित करता है
BadIIS समझौता किए गए IIS सर्वर से HTTP प्रतिक्रिया हेडर को रोक सकता है और संशोधित कर सकता है। विशेष रूप से, यह आने वाले HTTP अनुरोधों के भीतर 'उपयोगकर्ता-एजेंट' और 'रेफ़रर' फ़ील्ड की जाँच करता है। यदि इन फ़ील्ड में खोज पोर्टल साइट या लक्षित कीवर्ड हैं, तो मैलवेयर उपयोगकर्ताओं को अपेक्षित वैध पृष्ठ के बजाय अनधिकृत जुआ वेबसाइट पर पुनर्निर्देशित करता है। यह लक्षित पुनर्निर्देशन हमलावरों को अपने लाभ के लिए ऑर्गेनिक खोज ट्रैफ़िक का शोषण करने की अनुमति देता है।
