SEO-атака DragonRank
Злоумышленники были замечены в атаках на серверы Internet Information Services (IIS) в Азии в рамках кампании по манипуляции поисковой оптимизацией (SEO). Злоумышленники используют эту схему для развертывания BadIIS , угрозы, предназначенной для изменения веб-трафика и перенаправления пользователей на незаконные адреса.
Оглавление
Финансово мотивированные перенаправления на незаконные сайты азартных игр
Похоже, что кампания направлена на получение прибыли, поскольку взломанные серверы направляют ничего не подозревающих пользователей на нелегальные сайты азартных игр. Пораженные серверы IIS связаны с различными учреждениями, включая правительственные агентства, университеты, технологические компании и поставщиков телекоммуникационных услуг. К пострадавшим регионам относятся Индия, Таиланд, Вьетнам, Филиппины, Сингапур, Тайвань, Южная Корея, Япония и даже Бразилия.
Манипулирование трафиком и угрожающие перенаправления
После взлома сервера он может предоставлять измененный контент входящим посетителям. Злоумышленники используют этот элемент управления для внедрения перенаправлений на сайты азартных игр или для подключения жертв к мошеннической инфраструктуре, на которой размещено небезопасное программное обеспечение или страницы сбора учетных данных. Этот метод позволяет киберпреступникам использовать законный веб-трафик для получения финансовой выгоды или дальнейших кибератак.
Связь с DragonRank
Исследователи связывают эту деятельность с китайскоязычной группой угроз, известной как DragonRank. Ранее задокументированная как использующая стратегии SEO-манипулирования, DragonRank была связана с развертыванием вредоносного ПО BadIIS. Данные свидетельствуют о том, что эта группа произошла от более раннего субъекта угроз, известного в кругах кибербезопасности как Group 9, который использовал серверы IIS для прокси-сервисов и SEO-мошенничества с 2021 года.
Перекрывающиеся тактики с группой 11
Интересно, что недавние расследования показали, что обнаруженные артефакты вредоносного ПО имеют сходство с вариантом, связанным с другой сущностью, Group 11. Эта версия BadIIS включает в себя двойную функциональность: один режим фокусируется на мошенничестве с SEO, а другой внедряет подозрительный код JavaScript в веб-ответы для манипулирования трафиком посетителей.
Как BadIIS перенаправляет жертв
BadIIS может перехватывать и изменять заголовки HTTP-ответов от скомпрометированных серверов IIS. В частности, он проверяет поля «User-Agent» и «Referer» во входящих HTTP-запросах. Если эти поля содержат сайты поисковых порталов или целевые ключевые слова, вредоносная программа перенаправляет пользователей на несанкционированный сайт азартных игр вместо ожидаемой законной страницы. Это целевое перенаправление позволяет злоумышленникам использовать органический поисковый трафик в своих интересах.
