Atacul SEO DragonRank
Au fost observați actori amenințători care vizează serverele Internet Information Services (IIS) din Asia, ca parte a unei campanii de manipulare pentru optimizarea motoarelor de căutare (SEO). Atacatorii folosesc această schemă pentru a implementa BadIIS , o amenințare menită să modifice traficul web și să redirecționeze utilizatorii către destinații ilicite.
Cuprins
Redirecționări motivate financiar către site-uri de jocuri de noroc ilegale
Campania pare să fie bazată pe profit, deoarece serverele compromise conduc utilizatorii nebănuiți către site-uri web de jocuri de noroc ilegale. Serverele IIS afectate sunt legate de diverse instituții, inclusiv agenții guvernamentale, universități, firme de tehnologie și furnizori de telecomunicații. Regiunile afectate includ India, Thailanda, Vietnam, Filipine, Singapore, Taiwan, Coreea de Sud, Japonia și chiar Brazilia.
Trafic manipulat și redirecționări amenințătoare
Odată ce un server este compromis, acesta poate oferi conținut modificat vizitatorilor care sosesc. Atacatorii folosesc acest control pentru a implementa redirecționări către site-uri de jocuri de noroc sau pentru a conecta victimele la infrastructura necinstită care găzduiește software nesigur sau pagini de colectare a acreditărilor. Această tehnică permite infractorilor cibernetici să exploateze traficul web legitim pentru câștiguri financiare sau pentru alte atacuri cibernetice.
Conexiunea DragonRank
Cercetătorii atribuie această activitate unui grup de amenințări vorbitor de limbă chineză cunoscut sub numele de DragonRank. Documentat anterior ca folosirea strategiilor de manipulare SEO, DragonRank a fost legat de implementarea malware-ului BadIIS. Dovezile sugerează că acest grup a evoluat dintr-un actor de amenințare anterior, cunoscut în cercurile de securitate cibernetică sub numele de Grupul 9, care exploatează serverele IIS pentru servicii proxy și fraudă SEO din 2021.
Tactici suprapuse cu grupa 11
Interesant este că investigațiile recente dezvăluie că artefactele malware detectate prezintă asemănări cu o variantă asociată cu o altă entitate, Grupul 11. Această versiune de BadIIS include funcționalități duale: un mod se concentrează pe frauda SEO, în timp ce celălalt injectează cod JavaScript suspect în răspunsurile Web pentru a manipula traficul vizitatorilor.
Cum redirecționează BadIIS victimele
BadIIS poate intercepta și modifica anteturile de răspuns HTTP de la serverele IIS compromise. Mai exact, examinează câmpurile „User-Agent” și „Referer” din solicitările HTTP primite. Dacă aceste câmpuri conțin site-uri de portal de căutare sau cuvinte cheie vizate, malware-ul redirecționează utilizatorii către un site web de jocuri de noroc neautorizat în loc de pagina legitimă așteptată. Această redirecționare direcționată permite atacatorilor să exploateze traficul de căutare organic în beneficiul lor.
