DragonRank SEO-attack
Hotaktörer har observerats inrikta sig på Internet Information Services (IIS)-servrar i Asien som en del av en sökmotoroptimeringskampanj (SEO). Angriparna använder detta schema för att distribuera BadIIS , ett hot som är utformat för att ändra webbtrafik och omdirigera användare till otillåtna destinationer.
Innehållsförteckning
Ekonomiskt motiverade omdirigeringar till illegala hasardspelsajter
Kampanjen verkar vara vinstdriven, eftersom komprometterade servrar leder intet ont anande användare mot illegala hasardspelswebbplatser. De berörda IIS-servrarna är länkade till olika institutioner, inklusive statliga myndigheter, universitet, teknikföretag och telekommunikationsleverantörer. De drabbade regionerna inkluderar Indien, Thailand, Vietnam, Filippinerna, Singapore, Taiwan, Sydkorea, Japan och till och med Brasilien.
Manipulerad trafik och hotande omdirigeringar
När en server har äventyrats kan den visa ändrat innehåll till inkommande besökare. Angriparna använder denna kontroll för att implementera omdirigeringar till spelsajter eller för att koppla offer till oseriös infrastruktur som är värd för osäker programvara eller sidor för insamling av autentiseringsuppgifter. Denna teknik tillåter cyberbrottslingar att utnyttja legitim webbtrafik för ekonomisk vinning eller ytterligare cyberattacker.
DragonRank Connection
Forskare tillskriver denna aktivitet till en kinesisktalande hotgrupp känd som DragonRank. DragonRank, som tidigare dokumenterats som utnyttjande av SEO-manipulationsstrategier, har kopplats till distributionen av BadIIS malware. Bevis tyder på att denna grupp utvecklats från en tidigare hotaktör, känd i cybersäkerhetskretsar som Group 9, som har utnyttjat IIS-servrar för proxytjänster och SEO-bedrägerier sedan 2021.
Överlappande taktik med grupp 11
Intressant nog visar nya undersökningar att de upptäckta skadliga artefakterna har likheter med en variant associerad med en annan enhet, Group 11. Den här versionen av BadIIS innehåller dubbla funktioner: det ena läget fokuserar på SEO-bedrägerier, medan det andra injicerar misstänkt JavaScript-kod i webbsvar för att manipulera besökarnas trafik.
Hur BadIIS omdirigerar offer
BadIIS kan fånga upp och modifiera HTTP-svarsrubriker från de komprometterade IIS-servrarna. Specifikt undersöker den fälten "User-Agent" och "Referer" inom inkommande HTTP-förfrågningar. Om dessa fält innehåller sökportalwebbplatser eller riktade sökord omdirigerar skadlig programvara användare till en webbplats för otillåten hasardspel istället för den förväntade legitima sidan. Denna riktade omdirigering gör att angripare kan utnyttja organisk söktrafik till sin egen fördel.
