Sulmi SEO i DragonRank
Aktorët e kërcënimit janë vërejtur që synojnë serverët e Shërbimeve të Informacionit të Internetit (IIS) në Azi si pjesë e një fushate manipulimi të optimizimit të motorëve të kërkimit (SEO). Sulmuesit përdorin këtë skemë për të vendosur BadIIS , një kërcënim i krijuar për të ndryshuar trafikun në ueb dhe për të ridrejtuar përdoruesit në destinacione të paligjshme.
Tabela e Përmbajtjes
Ridrejtime të motivuara financiarisht në sajte të paligjshme të lojërave të fatit
Fushata duket se është e drejtuar nga fitimi, pasi serverët e komprometuar i kanalizojnë përdoruesit që nuk dyshojnë drejt faqeve të paligjshme të lojërave të fatit. Serverët e prekur IIS janë të lidhur me institucione të ndryshme, duke përfshirë agjencitë qeveritare, universitetet, firmat e teknologjisë dhe ofruesit e telekomunikacionit. Rajonet e prekura përfshijnë Indinë, Tajlandën, Vietnamin, Filipinet, Singaporin, Tajvanin, Korenë e Jugut, Japoninë dhe madje edhe Brazilin.
Trafiku i manipuluar dhe ridrejtimet kërcënuese
Pasi një server është komprometuar, ai mund të shërbejë përmbajtje të ndryshuar për vizitorët në hyrje. Sulmuesit e përdorin këtë kontroll për të zbatuar ridrejtimet në faqet e lojërave të fatit ose për të lidhur viktimat me infrastrukturën mashtruese që pret softuer të pasigurt ose faqe që mbledhin kredencialet. Kjo teknikë i lejon kriminelët kibernetikë të shfrytëzojnë trafikun legjitim të internetit për përfitime financiare ose sulme të mëtejshme kibernetike.
Lidhja DragonRank
Studiuesit ia atribuojnë këtë aktivitet një grupi kërcënimi që flet kinezisht të njohur si DragonRank. I dokumentuar më parë si shfrytëzim i strategjive të manipulimit të SEO, DragonRank është lidhur me vendosjen e malware BadIIS. Provat sugjerojnë se ky grup evoluoi nga një aktor i mëparshëm kërcënimi, i njohur në qarqet e sigurisë kibernetike si Grupi 9, i cili ka shfrytëzuar serverët IIS për shërbime proxy dhe mashtrime SEO që nga viti 2021.
Taktika të mbivendosjes me Grupin 11
Është interesante se hetimet e fundit zbulojnë se artefaktet e zbuluara të malware kanë ngjashmëri me një variant të lidhur me një entitet tjetër, Grupi 11. Ky version i BadIIS përfshin funksionalitete të dyfishta: njëra mënyrë fokusohet në mashtrimin e SEO, ndërsa tjetra injekton kodin e dyshimtë JavaScript në përgjigjet e Uebit për të manipuluar trafikun e vizitorëve.
Si i ridrejton viktimat BadIIS
BadIIS mund të përgjojë dhe modifikojë titujt e përgjigjes HTTP nga serverët e komprometuar IIS. Në mënyrë të veçantë, ai shqyrton fushat "Agjent-Përdorues" dhe "Referer" brenda kërkesave hyrëse të HTTP. Nëse këto fusha përmbajnë sajte të portalit të kërkimit ose fjalë kyçe të synuara, malware i ridrejton përdoruesit në një faqe interneti të paautorizuar të lojërave të fatit në vend të faqes së pritshme legjitime. Ky ridrejtim i synuar i lejon sulmuesit të shfrytëzojnë trafikun organik të kërkimit për përfitimin e tyre.
