DragonRank SEO-aanval
Er zijn dreigingsactoren waargenomen die de Internet Information Services (IIS)-servers in Azië als onderdeel van een zoekmachineoptimalisatie (SEO)-manipulatiecampagne targeten. De aanvallers gebruiken dit schema om BadIIS te implementeren, een dreiging die is ontworpen om webverkeer te wijzigen en gebruikers om te leiden naar illegale bestemmingen.
Inhoudsopgave
Financieel gemotiveerde omleidingen naar illegale goksites
De campagne lijkt winstgedreven te zijn, aangezien gecompromitteerde servers nietsvermoedende gebruikers naar illegale gokwebsites leiden. De getroffen IIS-servers zijn gekoppeld aan verschillende instellingen, waaronder overheidsinstanties, universiteiten, technologiebedrijven en telecommunicatieproviders. De getroffen regio's zijn India, Thailand, Vietnam, de Filipijnen, Singapore, Taiwan, Zuid-Korea, Japan en zelfs Brazilië.
Gemanipuleerd verkeer en bedreigende omleidingen
Zodra een server is gecompromitteerd, kan deze gewijzigde content aan inkomende bezoekers aanbieden. De aanvallers gebruiken deze controle om omleidingen naar goksites te implementeren of om slachtoffers te verbinden met malafide infrastructuur die onveilige software of pagina's voor het verzamelen van inloggegevens host. Deze techniek stelt cybercriminelen in staat om legitiem webverkeer te exploiteren voor financieel gewin of verdere cyberaanvallen.
De DragonRank-verbinding
Onderzoekers schrijven deze activiteit toe aan een Chinees sprekende bedreigingsgroep die bekendstaat als DragonRank. DragonRank is eerder gedocumenteerd als het gebruik van SEO-manipulatiestrategieën, maar is gelinkt aan de implementatie van BadIIS-malware. Bewijs suggereert dat deze groep is geëvolueerd van een eerdere bedreigingsactor, in cybersecuritykringen bekend als Group 9, die sinds 2021 IIS-servers exploiteert voor proxyservices en SEO-fraude.
Overlappende tactieken met Groep 11
Interessant genoeg blijkt uit recent onderzoek dat de gedetecteerde malware-artefacten overeenkomsten vertonen met een variant die is gekoppeld aan een andere entiteit, Groep 11. Deze versie van BadIIS bevat twee functies: de ene modus richt zich op SEO-fraude, terwijl de andere verdachte JavaScript-code in webreacties injecteert om bezoekersverkeer te manipuleren.
Hoe BadIIS slachtoffers omleidt
BadIIS kan HTTP-responsheaders van de gecompromitteerde IIS-servers onderscheppen en wijzigen. Het onderzoekt met name de velden 'User-Agent' en 'Referer' in binnenkomende HTTP-verzoeken. Als deze velden zoekportalsites of gerichte trefwoorden bevatten, leidt de malware gebruikers om naar een ongeautoriseerde gokwebsite in plaats van de verwachte legitieme pagina. Deze gerichte omleiding stelt aanvallers in staat om organisch zoekverkeer voor eigen gewin te exploiteren.
