DragonRank SEO uzbrukums
Ir novēroti draudu dalībnieki, kuri Āzijā vēršas pret interneta informācijas pakalpojumu (IIS) serveriem meklētājprogrammu optimizācijas (SEO) manipulācijas kampaņas ietvaros. Uzbrucēji izmanto šo shēmu, lai izvietotu BadIIS — draudus, kas paredzēti, lai mainītu tīmekļa trafiku un novirzītu lietotājus uz nelegāliem galamērķiem.
Satura rādītājs
Finansiāli motivētas novirzīšanas uz nelegālām azartspēļu vietnēm
Šķiet, ka kampaņa ir vērsta uz peļņu, jo uzlauztie serveri novirza nenojaušos lietotājus uz nelegālām azartspēļu vietnēm. Ietekmētie IIS serveri ir saistīti ar dažādām iestādēm, tostarp valsts aģentūrām, universitātēm, tehnoloģiju firmām un telekomunikāciju pakalpojumu sniedzējiem. Ietekmētie reģioni ir Indija, Taizeme, Vjetnama, Filipīnas, Singapūra, Taivāna, Dienvidkoreja, Japāna un pat Brazīlija.
Manipulēta satiksme un draudoša novirzīšana
Kad serveris ir apdraudēts, tas var apkalpot mainītu saturu ienākošajiem apmeklētājiem. Uzbrucēji izmanto šo vadīklu, lai īstenotu novirzīšanu uz azartspēļu vietnēm vai savienotu upurus ar negodīgu infrastruktūru, kurā tiek mitināta nedroša programmatūra vai akreditācijas datu iegūšanas lapas. Šis paņēmiens ļauj kibernoziedzniekiem izmantot likumīgu tīmekļa trafiku, lai gūtu finansiālu labumu vai veiktu turpmākus kiberuzbrukumus.
DragonRank savienojums
Pētnieki šo darbību attiecina uz ķīniešu valodā runājošo draudu grupu, kas pazīstama kā DragonRank. DragonRank, kas iepriekš tika dokumentēts kā SEO manipulācijas stratēģiju izmantošana, ir saistīts ar BadIIS ļaunprātīgas programmatūras izvietošanu. Pierādījumi liecina, ka šī grupa ir attīstījusies no agrāka apdraudējuma dalībnieka, kas kiberdrošības aprindās pazīstams kā 9. grupa, kas kopš 2021. gada izmanto IIS serverus starpniekservera pakalpojumiem un SEO krāpšanai.
Taktikas pārklāšanās ar 11. grupu
Interesanti, ka nesenās izmeklēšanas atklāj, ka atklātajiem ļaunprātīgas programmatūras artefaktiem ir līdzības ar variantu, kas saistīts ar citu entītiju — 11. grupu. Šajā BadIIS versijā ir divas funkcijas: viens režīms ir vērsts uz SEO krāpšanu, bet otrs tīmekļa atbildēs ievada aizdomīgu JavaScript kodu, lai manipulētu ar apmeklētāju trafiku.
Kā BadIIS novirza upurus
BadIIS var pārtvert un modificēt HTTP atbilžu galvenes no apdraudētajiem IIS serveriem. Konkrēti, tas pārbauda ienākošo HTTP pieprasījumu laukus “User-Agent” un “Referer”. Ja šajos laukos ir ietvertas meklēšanas portālu vietnes vai atlasīti atslēgvārdi, ļaunprogrammatūra novirza lietotājus uz neatļautu azartspēļu vietni, nevis paredzamo likumīgo lapu. Šī mērķtiecīgā novirzīšana ļauj uzbrucējiem izmantot dabiskās meklēšanas trafiku savā labā.
