การโจมตี SEO ของ DragonRank
พบว่าผู้ก่อภัยคุกคามกำลังกำหนดเป้าหมายไปที่เซิร์ฟเวอร์ Internet Information Services (IIS) ในเอเชีย ซึ่งเป็นส่วนหนึ่งของแคมเปญการปรับแต่งกลไกค้นหา (SEO) ผู้โจมตีใช้กลวิธีนี้เพื่อใช้งาน BadIIS ซึ่งเป็นภัยคุกคามที่ออกแบบมาเพื่อเปลี่ยนปริมาณการใช้งานเว็บและเปลี่ยนเส้นทางผู้ใช้ไปยังปลายทางที่ผิดกฎหมาย
สารบัญ
ผู้ที่มีแรงจูงใจทางการเงินจะเข้าสู่เว็บไซต์การพนันที่ผิดกฎหมาย
แคมเปญนี้ดูเหมือนจะมุ่งหวังผลกำไร เนื่องจากเซิร์ฟเวอร์ที่ถูกบุกรุกจะนำผู้ใช้ที่ไม่สงสัยไปยังเว็บไซต์การพนันที่ผิดกฎหมาย เซิร์ฟเวอร์ IIS ที่ได้รับผลกระทบเชื่อมโยงกับสถาบันต่างๆ รวมถึงหน่วยงานของรัฐ มหาวิทยาลัย บริษัทเทคโนโลยี และผู้ให้บริการโทรคมนาคม ภูมิภาคที่ได้รับผลกระทบ ได้แก่ อินเดีย ไทย เวียดนาม ฟิลิปปินส์ สิงคโปร์ ไต้หวัน เกาหลีใต้ ญี่ปุ่น และแม้แต่บราซิล
การจัดการการจราจรและการคุกคามการเปลี่ยนเส้นทาง
เมื่อเซิร์ฟเวอร์ถูกบุกรุก เซิร์ฟเวอร์อาจส่งเนื้อหาที่เปลี่ยนแปลงไปให้กับผู้เยี่ยมชมที่เข้ามา ผู้โจมตีใช้การควบคุมนี้เพื่อดำเนินการเปลี่ยนเส้นทางไปยังเว็บไซต์การพนันหรือเชื่อมต่อเหยื่อกับโครงสร้างพื้นฐานที่เป็นอันตรายซึ่งโฮสต์ซอฟต์แวร์ที่ไม่ปลอดภัยหรือหน้าการขโมยข้อมูลประจำตัว เทคนิคนี้ทำให้ผู้ก่ออาชญากรรมทางไซเบอร์สามารถใช้ประโยชน์จากปริมาณการใช้งานเว็บที่ถูกต้องตามกฎหมายเพื่อแสวงหาผลกำไรทางการเงินหรือโจมตีทางไซเบอร์เพิ่มเติม
การเชื่อมต่อ DragonRank
นักวิจัยระบุว่ากิจกรรมนี้เกิดจากกลุ่มผู้คุกคามที่พูดภาษาจีนที่รู้จักกันในชื่อ DragonRank ซึ่งก่อนหน้านี้มีการบันทึกไว้ว่าใช้กลยุทธ์การจัดการ SEO และ DragonRank ยังเชื่อมโยงกับการใช้งานมัลแวร์ BadIIS อีกด้วย หลักฐานชี้ให้เห็นว่ากลุ่มนี้พัฒนามาจากผู้ก่อภัยคุกคามก่อนหน้านี้ ซึ่งในแวดวงความปลอดภัยทางไซเบอร์เรียกว่า Group 9 ซึ่งใช้ประโยชน์จากเซิร์ฟเวอร์ IIS เพื่อบริการพร็อกซีและการฉ้อโกง SEO ตั้งแต่ปี 2021
ยุทธวิธีทับซ้อนกับกลุ่ม 11
ที่น่าสนใจคือ การสืบสวนล่าสุดเผยให้เห็นว่ามัลแวร์ที่ตรวจพบมีความคล้ายคลึงกับตัวแปรที่เกี่ยวข้องกับเอนทิตีอื่น กลุ่ม 11 BadIIS เวอร์ชันนี้มีฟังก์ชันการทำงานสองแบบ โหมดหนึ่งเน้นที่การฉ้อโกง SEO ในขณะที่อีกโหมดหนึ่งจะแทรกโค้ด JavaScript ที่น่าสงสัยลงในการตอบสนองของเว็บเพื่อควบคุมปริมาณผู้เยี่ยมชม
BadIIS เปลี่ยนเส้นทางเหยื่ออย่างไร
BadIIS สามารถดักจับและแก้ไขส่วนหัวการตอบสนอง HTTP จากเซิร์ฟเวอร์ IIS ที่ถูกบุกรุก โดยเฉพาะอย่างยิ่ง จะตรวจสอบฟิลด์ 'User-Agent' และ 'Referer' ในคำขอ HTTP ขาเข้า หากฟิลด์เหล่านี้มีไซต์พอร์ทัลการค้นหาหรือคีย์เวิร์ดเป้าหมาย มัลแวร์จะเปลี่ยนเส้นทางผู้ใช้ไปยังเว็บไซต์การพนันที่ไม่ได้รับอนุญาตแทนที่จะเป็นเพจที่ถูกต้องตามกฎหมายตามที่คาดไว้ การเปลี่ยนเส้นทางแบบกำหนดเป้าหมายนี้ทำให้ผู้โจมตีสามารถใช้ประโยชน์จากปริมาณการค้นหาแบบออร์แกนิกเพื่อประโยชน์ของตนเองได้
