DragonRank SEO napad
Primijećeno je da akteri prijetnji ciljaju poslužitelje internetskih informacijskih usluga (IIS) u Aziji kao dio kampanje manipulacije optimizacijom tražilica (SEO). Napadači koriste ovu shemu za implementaciju BadIIS-a , prijetnje osmišljene za promjenu web prometa i preusmjeravanje korisnika na nedopuštena odredišta.
Sadržaj
Financijski motivirana preusmjeravanja na nezakonite stranice za kockanje
Čini se da je kampanja vođena profitom, budući da kompromitirani poslužitelji usmjeravaju korisnike koji ništa ne sumnjaju prema ilegalnim web stranicama za kockanje. Pogođeni IIS poslužitelji povezani su s raznim institucijama, uključujući vladine agencije, sveučilišta, tehnološke tvrtke i pružatelje telekomunikacijskih usluga. Pogođene regije uključuju Indiju, Tajland, Vijetnam, Filipine, Singapur, Tajvan, Južnu Koreju, Japan pa čak i Brazil.
Manipulirani promet i prijeteća preusmjeravanja
Nakon što je poslužitelj ugrožen, može posluživati izmijenjeni sadržaj dolaznim posjetiteljima. Napadači koriste ovu kontrolu za provedbu preusmjeravanja na stranice za kockanje ili za povezivanje žrtava s lažnom infrastrukturom koja hostira nesiguran softver ili stranice za prikupljanje vjerodajnica. Ova tehnika kibernetičkim kriminalcima omogućuje iskorištavanje legitimnog internetskog prometa za financijsku dobit ili daljnje kibernetičke napade.
Veza DragonRank
Istraživači ovu aktivnost pripisuju skupini prijetnji kineskog govornog područja poznatoj kao DragonRank. Prethodno dokumentiran kao iskorištavanje strategija manipulacije SEO-om, DragonRank je povezan s implementacijom zlonamjernog softvera BadIIS. Dokazi upućuju na to da se ova grupa razvila iz ranijeg aktera prijetnji, poznatog u krugovima kibernetičke sigurnosti kao Grupa 9, koja iskorištava IIS poslužitelje za proxy usluge i SEO prijevare od 2021. godine.
Preklapanje taktike s Grupom 11
Zanimljivo je da nedavne istrage otkrivaju da otkriveni artefakti zlonamjernog softvera imaju sličnosti s varijantom povezanom s drugim entitetom, Grupom 11. Ova verzija BadIIS-a uključuje dvostruke funkcionalnosti: jedan se način rada fokusira na SEO prijevaru, dok drugi ubacuje sumnjivi JavaScript kod u web-odgovore kako bi manipulirao prometom posjetitelja.
Kako BadIIS preusmjerava žrtve
BadIIS može presresti i modificirati zaglavlja HTTP odgovora s kompromitiranih IIS poslužitelja. Konkretno, ispituje polja 'User-Agent' i 'Referer' unutar dolaznih HTTP zahtjeva. Ako ta polja sadrže stranice portala za pretraživanje ili ciljane ključne riječi, zlonamjerni softver preusmjerava korisnike na neovlaštenu web stranicu za kockanje umjesto na očekivanu legitimnu stranicu. Ovo ciljano preusmjeravanje omogućuje napadačima da iskoriste promet organskog pretraživanja za vlastitu korist.
