SEO útok DragonRank
Boli pozorovaní aktéri hrozieb, ktorí sa zameriavali na servery internetových informačných služieb (IIS) v Ázii ako súčasť manipulačnej kampane optimalizácie pre vyhľadávače (SEO). Útočníci využívajú túto schému na nasadenie BadIIS , hrozby navrhnutej na zmenu webového prenosu a presmerovanie používateľov na nelegálne ciele.
Obsah
Finančne motivované presmerovania na stránky s nelegálnymi hazardnými hrami
Zdá sa, že kampaň je zameraná na zisk, pretože napadnuté servery smerujú nič netušiacich používateľov k nelegálnym webovým stránkam s hazardnými hrami. Dotknuté servery IIS sú prepojené s rôznymi inštitúciami vrátane vládnych agentúr, univerzít, technologických firiem a poskytovateľov telekomunikačných služieb. Medzi postihnuté regióny patrí India, Thajsko, Vietnam, Filipíny, Singapur, Taiwan, Južná Kórea, Japonsko a dokonca aj Brazília.
Zmanipulovaná návštevnosť a hrozivé presmerovania
Keď je server napadnutý, môže prichádzajúcim návštevníkom poskytnúť upravený obsah. Útočníci používajú túto kontrolu na implementáciu presmerovaní na stránky s hazardnými hrami alebo na pripojenie obetí k nečestnej infraštruktúre hosťujúcej nebezpečný softvér alebo stránky na zbieranie poverení. Táto technika umožňuje kyberzločincom využívať legitímnu webovú prevádzku na finančný zisk alebo ďalšie kybernetické útoky.
Spojenie DragonRank
Výskumníci pripisujú túto aktivitu čínsky hovoriacej skupine hrozieb známej ako DragonRank. DragonRank, ktorý bol predtým zdokumentovaný ako využitie stratégií manipulácie SEO, bol spojený s nasadením malvéru BadIIS. Dôkazy naznačujú, že táto skupina sa vyvinula z predchádzajúceho aktéra hrozieb, známeho v kruhoch kybernetickej bezpečnosti ako Skupina 9, ktorý od roku 2021 využíva servery IIS na proxy služby a podvody v oblasti SEO.
Prekrývanie taktiky so skupinou 11
Je zaujímavé, že nedávne vyšetrovania odhalili, že zistené artefakty škodlivého softvéru majú podobnosť s variantom spojeným s inou entitou, skupinou 11. Táto verzia BadIIS obsahuje duálne funkcie: jeden režim sa zameriava na podvody v oblasti SEO, zatiaľ čo druhý vkladá podozrivý kód JavaScript do webových odpovedí s cieľom manipulovať návštevnosť návštevníkov.
Ako BadIIS presmeruje obete
BadIIS môže zachytiť a upraviť hlavičky odpovede HTTP z napadnutých serverov IIS. Konkrétne skúma polia 'User-Agent' a 'Referer' v rámci prichádzajúcich požiadaviek HTTP. Ak tieto polia obsahujú vyhľadávacie portály alebo cielené kľúčové slová, malvér presmeruje používateľov na neautorizované webové stránky s hazardnými hrami namiesto očakávanej legitímnej stránky. Toto cielené presmerovanie umožňuje útočníkom využívať návštevnosť z organického vyhľadávania vo svoj vlastný prospech.
