DragonRank SEO napad
Ugotovljeno je bilo, da akterji groženj ciljajo na strežnike internetnih informacijskih storitev (IIS) v Aziji kot del kampanje manipulacije optimizacije iskalnikov (SEO). Napadalci uporabljajo to shemo za uvedbo BadIIS , grožnje, namenjene spreminjanju spletnega prometa in preusmerjanju uporabnikov na nedovoljene cilje.
Kazalo
Finančno motivirane preusmeritve na nezakonita spletna mesta z igrami na srečo
Zdi se, da je kampanja usmerjena v dobiček, saj ogroženi strežniki usmerjajo nič hudega sluteče uporabnike na nezakonita spletna mesta za igre na srečo. Prizadeti strežniki IIS so povezani z različnimi institucijami, vključno z vladnimi agencijami, univerzami, tehnološkimi podjetji in ponudniki telekomunikacij. Prizadeta območja vključujejo Indijo, Tajsko, Vietnam, Filipine, Singapur, Tajvan, Južno Korejo, Japonsko in celo Brazilijo.
Manipuliran promet in nevarne preusmeritve
Ko je strežnik ogrožen, lahko dohodnim obiskovalcem ponudi spremenjeno vsebino. Napadalci uporabljajo ta nadzor za izvajanje preusmeritev na spletna mesta z igrami na srečo ali za povezovanje žrtev z lažno infrastrukturo, ki gosti nevarno programsko opremo ali strani za zbiranje poverilnic. Ta tehnika kibernetskim kriminalcem omogoča izkoriščanje zakonitega spletnega prometa za finančni dobiček ali nadaljnje kibernetske napade.
Povezava DragonRank
Raziskovalci to dejavnost pripisujejo kitajsko govoreči skupini groženj, znani kot DragonRank. DragonRank, ki je bil prej dokumentiran kot izkoriščanje strategij manipulacije SEO, je bil povezan z uvedbo zlonamerne programske opreme BadIIS. Dokazi kažejo, da se je ta skupina razvila iz prejšnjega akterja grožnje, v krogih kibernetske varnosti poznanega kot Group 9, ki od leta 2021 izkorišča strežnike IIS za storitve proxy in goljufije SEO.
Prekrivajoče se taktike s skupino 11
Zanimivo je, da nedavne preiskave razkrivajo, da so odkriti artefakti zlonamerne programske opreme podobni različici, povezani z drugo entiteto, skupino 11. Ta različica BadIIS vključuje dvojne funkcije: en način se osredotoča na goljufije SEO, medtem ko drugi vstavi sumljivo kodo JavaScript v spletne odzive za manipulacijo prometa obiskovalcev.
Kako BadIIS preusmerja žrtve
BadIIS lahko prestreže in spremeni glave odgovorov HTTP iz ogroženih strežnikov IIS. Natančneje, pregleda polji 'User-Agent' in 'Referer' znotraj dohodnih zahtev HTTP. Če ta polja vsebujejo spletna mesta iskalnega portala ali ciljne ključne besede, zlonamerna programska oprema uporabnike preusmeri na nepooblaščeno spletno mesto iger na srečo namesto na pričakovano legitimno stran. Ta ciljana preusmeritev omogoča napadalcem, da izkoriščajo organski promet iskanja za lastno korist.
