DragonRank SEO ataka
Buvo pastebėta, kad grėsmės veikėjai taikėsi į interneto informacijos paslaugų (IIS) serverius Azijoje, vykdydami paieškos sistemų optimizavimo (SEO) manipuliavimo kampaniją. Užpuolikai naudoja šią schemą norėdami įdiegti BadIIS – grėsmę, skirtą pakeisti žiniatinklio srautą ir nukreipti vartotojus į neteisėtas paskirties vietas.
Turinys
Finansiškai motyvuoti peradresavimai į nelegalias lošimų svetaines
Atrodo, kad kampanija siekiama pelno, nes pažeisti serveriai nukreipia nieko neįtariančius vartotojus į nelegalias lošimo svetaines. Paveikti IIS serveriai yra susieti su įvairiomis institucijomis, įskaitant vyriausybines agentūras, universitetus, technologijų įmones ir telekomunikacijų tiekėjus. Paveikti regionai yra Indija, Tailandas, Vietnamas, Filipinai, Singapūras, Taivanas, Pietų Korėja, Japonija ir net Brazilija.
Manipuliuojamas srautas ir grėsmingi peradresavimai
Kai serveris yra pažeistas, jis gali teikti pakeistą turinį ateinantiems lankytojams. Užpuolikai naudoja šį valdiklį, kad įgyvendintų peradresavimus į lošimų svetaines arba sujungtų aukas prie nesąžiningos infrastruktūros, kurioje yra nesaugi programinė įranga arba kredencialų rinkimo puslapiai. Ši technika leidžia kibernetiniams nusikaltėliams išnaudoti teisėtą žiniatinklio srautą siekiant finansinės naudos arba tolimesnėms kibernetinėms atakoms.
„DragonRank“ ryšys
Tyrėjai šią veiklą priskiria kiniškai kalbančiai grėsmių grupei, žinomai kaip DragonRank. Anksčiau dokumentuota, kad ji naudoja SEO manipuliavimo strategijas, „DragonRank“ buvo susieta su BadIIS kenkėjiškų programų diegimu. Įrodymai rodo, kad ši grupė išsivystė iš ankstesnio grėsmės veikėjo, kibernetinio saugumo sluoksniuose žinomo kaip 9 grupė, kuri nuo 2021 m. išnaudoja IIS serverius tarpinio serverio paslaugoms ir SEO sukčiavimui.
Taktikos sutapimas su 11 grupe
Įdomu tai, kad naujausi tyrimai atskleidžia, kad aptikti kenkėjiškų programų artefaktai yra panašūs į variantą, susietą su kitu subjektu, 11 grupe. Šioje BadIIS versijoje yra dvigubos funkcijos: vienas režimas sutelktas į SEO sukčiavimą, o kitas įterpia įtartiną JavaScript kodą į žiniatinklio atsakymus, kad manipuliuotų lankytojų srautu.
Kaip BadIIS nukreipia aukas
BadIIS gali perimti ir modifikuoti HTTP atsakymų antraštes iš pažeistų IIS serverių. Tiksliau, jis tiria gaunamų HTTP užklausų laukus „User-Agent“ ir „Referer“. Jei šiuose laukuose yra paieškos portalų svetainių arba taikomų raktinių žodžių, kenkėjiška programa nukreipia naudotojus į neteisėtą lošimo svetainę, o ne į tikėtiną teisėtą puslapį. Šis tikslinis peradresavimas leidžia užpuolikams išnaudoti natūralios paieškos srautą savo naudai.
