DragonRank SEO 공격

위협 행위자들은 검색 엔진 최적화(SEO) 조작 캠페인의 일환으로 아시아의 인터넷 정보 서비스(IIS) 서버를 표적으로 삼는 것으로 관찰되었습니다. 공격자는 이 계획을 사용하여 웹 트래픽을 변경하고 사용자를 불법적인 목적지로 리디렉션하도록 설계된 위협인 BadIIS를 배포합니다.

불법 도박 사이트로의 재정적 동기에 의한 리디렉션

이 캠페인은 이익 중심인 듯합니다. 침해된 서버가 의심치 않는 사용자를 불법 도박 웹사이트로 유도하기 때문입니다. 영향을 받은 IIS 서버는 정부 기관, 대학, 기술 회사, 통신 제공업체를 포함한 다양한 기관과 연결되어 있습니다. 영향을 받은 지역에는 인도, 태국, 베트남, 필리핀, 싱가포르, 대만, 한국, 일본, 심지어 브라질이 있습니다.

조작된 트래픽 및 위협적인 리디렉션

서버가 침해되면 들어오는 방문자에게 변경된 콘텐츠를 제공할 수 있습니다. 공격자는 이 컨트롤을 사용하여 도박 사이트로 리디렉션하거나 피해자를 안전하지 않은 소프트웨어나 자격 증명 수집 페이지를 호스팅하는 악성 인프라에 연결합니다. 이 기술을 통해 사이버 범죄자는 합법적인 웹 트래픽을 악용하여 재정적 이득을 얻거나 추가 사이버 공격을 수행할 수 있습니다.

DragonRank 연결

연구자들은 이 활동을 DragonRank라는 중국어권 위협 그룹 때문이라고 합니다. 이전에 SEO 조작 전략을 활용하는 것으로 기록된 DragonRank는 BadIIS 맬웨어 배포와 관련이 있었습니다. 증거에 따르면 이 그룹은 2021년부터 IIS 서버를 프록시 서비스와 SEO 사기에 악용해 온 사이버 보안계에서 Group 9로 알려진 이전의 위협 행위자에서 진화한 것으로 보입니다.

그룹 11과의 중복된 전술

흥미롭게도, 최근 조사에서 탐지된 맬웨어 아티팩트가 다른 엔터티인 그룹 11과 관련된 변종과 유사하다는 사실이 밝혀졌습니다. 이 BadIIS 버전에는 두 가지 기능이 포함되어 있습니다. 한 모드는 SEO 사기에 초점을 맞추고, 다른 모드는 방문자 트래픽을 조작하기 위해 웹 응답에 의심스러운 JavaScript 코드를 삽입합니다.

BadIIS가 피해자를 리디렉션하는 방법

BadIIS는 손상된 IIS 서버에서 HTTP 응답 헤더를 가로채서 수정할 수 있습니다. 구체적으로, 들어오는 HTTP 요청 내의 'User-Agent' 및 'Referer' 필드를 검사합니다. 이러한 필드에 검색 포털 사이트나 타겟 키워드가 포함되어 있으면, 맬웨어는 사용자를 예상되는 합법적인 페이지 대신 허가되지 않은 도박 웹사이트로 리디렉션합니다. 이러한 타겟 리디렉션을 통해 공격자는 자신의 이익을 위해 유기적 검색 트래픽을 악용할 수 있습니다.