Serangan SEO DragonRank
Aktor ancaman telah diperhatikan menyasarkan pelayan Perkhidmatan Maklumat Internet (IIS) di Asia sebagai sebahagian daripada kempen manipulasi pengoptimuman enjin carian (SEO). Penyerang menggunakan skim ini untuk menggunakan BadIIS , ancaman yang direka untuk mengubah trafik Web dan mengubah hala pengguna ke destinasi terlarang.
Isi kandungan
Ubah hala Bermotifkan Kewangan ke Tapak Perjudian Haram
Kempen ini nampaknya dipacu keuntungan, kerana pelayan yang terjejas menyalurkan pengguna yang tidak curiga ke arah tapak web perjudian haram. Pelayan IIS yang terjejas dipautkan kepada pelbagai institusi, termasuk agensi kerajaan, universiti, firma teknologi dan penyedia telekomunikasi. Wilayah yang terjejas termasuk India, Thailand, Vietnam, Filipina, Singapura, Taiwan, Korea Selatan, Jepun dan juga Brazil.
Trafik Dimanipulasi dan Ubah Arah Mengancam
Sebaik sahaja pelayan dikompromi, ia mungkin menyampaikan kandungan yang diubah kepada pelawat masuk. Penyerang menggunakan kawalan ini untuk melaksanakan ubah hala ke tapak perjudian atau untuk menghubungkan mangsa kepada infrastruktur penyangak yang mengehos perisian tidak selamat atau halaman penuaian kelayakan. Teknik ini membolehkan penjenayah siber mengeksploitasi trafik web yang sah untuk keuntungan kewangan atau serangan siber selanjutnya.
Sambungan DragonRank
Penyelidik mengaitkan aktiviti ini kepada kumpulan ancaman berbahasa Cina yang dikenali sebagai DragonRank. Sebelum ini didokumenkan sebagai memanfaatkan strategi manipulasi SEO, DragonRank telah dikaitkan dengan penggunaan perisian hasad BadIIS. Bukti menunjukkan bahawa kumpulan ini berkembang daripada pelakon ancaman terdahulu, yang dikenali dalam kalangan keselamatan siber sebagai Kumpulan 9, yang telah mengeksploitasi pelayan IIS untuk perkhidmatan proksi dan penipuan SEO sejak 2021.
Taktik Bertindih dengan Kumpulan 11
Menariknya, penyiasatan baru-baru ini mendedahkan bahawa artifak perisian hasad yang dikesan mempunyai persamaan dengan varian yang dikaitkan dengan entiti lain, Kumpulan 11. Versi BadIIS ini termasuk dwi fungsi: satu mod memfokuskan pada penipuan SEO, manakala mod yang lain menyuntik kod JavaScript yang mencurigakan ke dalam respons Web untuk memanipulasi trafik pelawat.
Bagaimana BadIIS Mengubah Hala Mangsa
BadIIS boleh memintas dan mengubah suai pengepala respons HTTP daripada pelayan IIS yang terjejas. Secara khusus, ia meneliti medan 'Ejen-Pengguna' dan 'Perujuk' dalam permintaan HTTP masuk. Jika medan ini mengandungi tapak portal carian atau kata kunci yang disasarkan, perisian hasad akan mengarahkan pengguna ke tapak web perjudian yang tidak dibenarkan dan bukannya halaman sah yang dijangkakan. Ubah hala yang disasarkan ini membolehkan penyerang mengeksploitasi trafik carian organik untuk faedah mereka sendiri.
