DragonRank SEO-angrep
Trusselaktører har blitt observert rettet mot Internet Information Services (IIS)-servere i Asia som en del av en søkemotoroptimaliseringskampanje (SEO). Angriperne bruker dette opplegget til å distribuere BadIIS , en trussel designet for å endre nettrafikk og omdirigere brukere til ulovlige destinasjoner.
Innholdsfortegnelse
Økonomisk motiverte viderekoblinger til ulovlige gamblingsider
Kampanjen ser ut til å være profittdrevet, ettersom kompromitterte servere leder intetanende brukere mot ulovlige gamblingnettsteder. De berørte IIS-serverne er knyttet til ulike institusjoner, inkludert offentlige etater, universiteter, teknologifirmaer og telekommunikasjonsleverandører. De berørte regionene inkluderer India, Thailand, Vietnam, Filippinene, Singapore, Taiwan, Sør-Korea, Japan og til og med Brasil.
Manipulert trafikk og truende omdirigeringer
Når en server er kompromittert, kan den vise endret innhold til innkommende besøkende. Angriperne bruker denne kontrollen til å implementere omdirigeringer til gamblingsider eller for å koble ofre til useriøs infrastruktur som er vert for usikker programvare eller sider for innhenting av legitimasjon. Denne teknikken lar nettkriminelle utnytte legitim nettrafikk for økonomisk vinning eller ytterligere nettangrep.
DragonRank-forbindelsen
Forskere tilskriver denne aktiviteten til en kinesisktalende trusselgruppe kjent som DragonRank. Tidligere dokumentert å utnytte SEO-manipulasjonsstrategier, har DragonRank blitt koblet til distribusjon av BadIIS malware. Bevis tyder på at denne gruppen utviklet seg fra en tidligere trusselaktør, kjent i cybersikkerhetskretser som Group 9, som har utnyttet IIS-servere for proxy-tjenester og SEO-svindel siden 2021.
Overlappende taktikk med gruppe 11
Interessant nok avslører nyere undersøkelser at de oppdagede skadelige artefaktene har likheter med en variant assosiert med en annen enhet, gruppe 11. Denne versjonen av BadIIS inkluderer doble funksjoner: den ene modusen fokuserer på SEO-svindel, mens den andre injiserer mistenkelig JavaScript-kode i nettsvar for å manipulere besøkendes trafikk.
Hvordan BadIIS omdirigerer ofre
BadIIS kan fange opp og endre HTTP-svarhoder fra de kompromitterte IIS-serverne. Spesifikt undersøker den "Brukeragent" og "Referer"-feltene i innkommende HTTP-forespørsler. Hvis disse feltene inneholder søkeportalsider eller målrettede søkeord, omdirigerer skadelig programvare brukere til et uautorisert gamblingnettsted i stedet for den forventede legitime siden. Denne målrettede omdirigeringen lar angripere utnytte organisk søketrafikk til egen fordel.
