DragonRank SEO támadás
Fenyegető szereplőket figyeltek meg, akik az Internet Information Services (IIS) szervereit célozták meg Ázsiában egy keresőoptimalizálási (SEO) manipulációs kampány részeként. A támadók ezzel a sémával telepítik a BadIIS-t , egy olyan fenyegetést, amelyet a webes forgalom megváltoztatására és a felhasználók illegális célpontokra való átirányítására terveztek.
Tartalomjegyzék
Pénzügyi indíttatású átirányítások illegális szerencsejáték-webhelyekre
A kampány látszólag profitorientált, mivel a kompromittált szerverek a gyanútlan felhasználókat illegális szerencsejáték-webhelyek felé irányítják. Az érintett IIS-szerverek különféle intézményekkel, köztük kormányzati szervekkel, egyetemekkel, technológiai cégekkel és távközlési szolgáltatókkal állnak kapcsolatban. Az érintett régiók közé tartozik India, Thaiföld, Vietnam, a Fülöp-szigetek, Szingapúr, Tajvan, Dél-Korea, Japán és még Brazília is.
Manipulált forgalom és fenyegető átirányítások
Ha egy szervert feltörtek, az megváltoztatott tartalmat jeleníthet meg a bejövő látogatók számára. A támadók ezt a vezérlőt arra használják, hogy átirányításokat hajtsanak végre szerencsejáték-webhelyekre, vagy összekapcsolják az áldozatokat a nem biztonságos szoftvereket vagy hitelesítő adatok begyűjtő oldalait tároló álinfrastruktúrával. Ez a technika lehetővé teszi a kiberbűnözők számára, hogy pénzügyi haszonszerzésre vagy további kibertámadásokra használják ki a legitim webes forgalmat.
A DragonRank kapcsolat
A kutatók ezt a tevékenységet egy DragonRank néven ismert, kínaiul beszélő fenyegető csoportnak tulajdonítják. Korábban a SEO manipulációs stratégiák kiaknázásaként dokumentált DragonRank-ot a BadIIS rosszindulatú programok telepítésével hozták kapcsolatba. A bizonyítékok arra utalnak, hogy ez a csoport egy korábbi fenyegetési szereplőből fejlődött ki, amelyet a kiberbiztonsági körökben Group 9 néven ismertek, és amely 2021 óta használja ki az IIS-szervereket proxyszolgáltatásokra és SEO-csalásokra.
Átfedő taktika a 11. csoporttal
Érdekes módon a közelmúltban végzett vizsgálatok azt mutatják, hogy az észlelt rosszindulatú programtermékek hasonlóságot mutatnak egy másik entitáshoz, a 11-es csoporthoz társított változathoz. A BadIIS ezen verziója kettős funkciót tartalmaz: az egyik mód a SEO-csalásokra összpontosít, míg a másik gyanús JavaScript kódot fecskendez be a webes válaszokba, hogy manipulálja a látogatói forgalmat.
Hogyan irányítja át a BadIIS az áldozatokat
A BadIIS képes elkapni és módosítani a HTTP-válaszfejléceket a feltört IIS-kiszolgálókról. Pontosabban, a bejövő HTTP-kérelmek „User-Agent” és „Referer” mezőit vizsgálja. Ha ezek a mezők keresési portáloldalakat vagy célzott kulcsszavakat tartalmaznak, a rosszindulatú program a várt legitim oldal helyett egy jogosulatlan szerencsejáték-webhelyre irányítja át a felhasználókat. Ez a célzott átirányítás lehetővé teszi a támadók számára, hogy saját hasznukra aknázzák ki az organikus keresési forgalmat.
