Atak SEO DragonRank
Zaobserwowano, że aktorzy zagrożeń atakują serwery Internet Information Services (IIS) w Azji w ramach kampanii manipulacji optymalizacją wyszukiwarek (SEO). Atakujący wykorzystują ten schemat do wdrażania BadIIS , zagrożenia zaprojektowanego w celu zmiany ruchu sieciowego i przekierowywania użytkowników do nielegalnych miejsc docelowych.
Spis treści
Przekierowania motywowane finansowo do nielegalnych witryn hazardowych
Kampania wydaje się być nastawiona na zysk, ponieważ zainfekowane serwery kierują niczego niepodejrzewających użytkowników w stronę nielegalnych witryn hazardowych. Dotknięte serwery IIS są połączone z różnymi instytucjami, w tym agencjami rządowymi, uniwersytetami, firmami technologicznymi i dostawcami usług telekomunikacyjnych. Dotknięte regiony obejmują Indie, Tajlandię, Wietnam, Filipiny, Singapur, Tajwan, Koreę Południową, Japonię, a nawet Brazylię.
Manipulowany ruch i groźne przekierowania
Gdy serwer zostanie naruszony, może on serwować zmienione treści przychodzącym gościom. Atakujący wykorzystują tę kontrolę do wdrażania przekierowań do witryn hazardowych lub łączenia ofiar z nieuczciwą infrastrukturą hostującą niebezpieczne oprogramowanie lub strony zbierające dane uwierzytelniające. Ta technika pozwala cyberprzestępcom wykorzystywać legalny ruch sieciowy w celu uzyskania korzyści finansowych lub dalszych cyberataków.
Połączenie DragonRank
Badacze przypisują tę aktywność chińskojęzycznej grupie zagrożeń znanej jako DragonRank. Wcześniej udokumentowano, że DragonRank wykorzystuje strategie manipulacji SEO, a także powiązano go z wdrażaniem złośliwego oprogramowania BadIIS. Dowody sugerują, że grupa ta wyewoluowała z wcześniejszego aktora zagrożeń, znanego w kręgach cyberbezpieczeństwa jako Grupa 9, który od 2021 r. wykorzystuje serwery IIS do usług proxy i oszustw SEO.
Nakładające się taktyki z Grupą 11
Co ciekawe, ostatnie dochodzenia ujawniły, że wykryte artefakty złośliwego oprogramowania wykazują podobieństwo do wariantu powiązanego z innym podmiotem, Grupą 11. Ta wersja BadIIS obejmuje dwie funkcjonalności: jeden tryb koncentruje się na oszustwach SEO, podczas gdy drugi wstrzykuje podejrzany kod JavaScript do odpowiedzi internetowych w celu manipulowania ruchem użytkowników.
Jak BadIIS przekierowuje ofiary
BadIIS może przechwytywać i modyfikować nagłówki odpowiedzi HTTP z zainfekowanych serwerów IIS. Dokładniej rzecz biorąc, bada pola „User-Agent” i „Referer” w przychodzących żądaniach HTTP. Jeśli te pola zawierają witryny portalu wyszukiwania lub docelowe słowa kluczowe, malware przekierowuje użytkowników do nieautoryzowanej witryny hazardowej zamiast oczekiwanej legalnej strony. To ukierunkowane przekierowanie pozwala atakującym wykorzystać organiczny ruch wyszukiwania dla własnej korzyści.
