ДрагонРанк СЕО напад
Уочени су актери претњи који циљају на сервере Интернет Информатион Сервицес (ИИС) у Азији као део кампање манипулације оптимизацијом претраживача (СЕО). Нападачи користе ову шему за постављање БадИИС-а , претње дизајниране да промени веб саобраћај и преусмери кориснике на недозвољена одредишта.
Преглед садржаја
Финансијски мотивисана преусмеравања на сајтове за илегално коцкање
Чини се да је кампања вођена профитом, јер компромитовани сервери усмеравају несуђене кориснике ка илегалним веб локацијама за коцкање. Погођени ИИС сервери су повезани са различитим институцијама, укључујући владине агенције, универзитете, технолошке фирме и телекомуникационе провајдере. Погођени региони укључују Индију, Тајланд, Вијетнам, Филипине, Сингапур, Тајван, Јужну Кореју, Јапан, па чак и Бразил.
Манипулисани саобраћај и претећа преусмеравања
Када је сервер компромитован, може да прикаже измењени садржај долазним посетиоцима. Нападачи користе ову контролу за имплементацију преусмеравања на сајтове за коцкање или за повезивање жртава са лажном инфраструктуром која хостује небезбедни софтвер или странице за прикупљање акредитива. Ова техника омогућава сајбер криминалцима да искористе легитиман веб саобраћај за финансијску добит или даље сајбер нападе.
ДрагонРанк веза
Истраживачи ову активност приписују групи претњи која говори кинески језик познатој као ДрагонРанк. Раније документован као коришћење стратегија СЕО манипулације, ДрагонРанк је повезан са применом БадИИС малвера. Докази сугеришу да је ова група еволуирала од ранијег актера претњи, познатог у круговима сајбер безбедности као Група 9, која је експлоатисала ИИС сервере за прокси услуге и СЕО преваре од 2021.
Тактика преклапања са групом 11
Занимљиво је да недавна истраживања откривају да откривени артефакти злонамерног софтвера имају сличности са варијантом повезаном са другим ентитетом, Групом 11. Ова верзија БадИИС-а укључује двоструке функционалности: један режим се фокусира на СЕО превару, док други убризгава сумњив ЈаваСцрипт код у веб одговоре како би манипулисао саобраћајем посетилаца.
Како БадИИС преусмерава жртве
БадИИС може пресрести и изменити ХТТП заглавља одговора са компромитованих ИИС сервера. Конкретно, испитује поља 'Усер-Агент' и 'Реферер' у оквиру долазних ХТТП захтева. Ако ова поља садрже сајтове портала за претрагу или циљане кључне речи, малвер преусмерава кориснике на неовлашћену веб локацију за коцкање уместо на очекивану легитимну страницу. Ово циљано преусмеравање омогућава нападачима да искористе саобраћај органске претраге у своју корист.
