DragonRank SEO Attack
Napagmasdan ang mga aktor ng pagbabanta na nagta-target sa mga server ng Internet Information Services (IIS) sa Asia bilang bahagi ng isang kampanya sa pagmamanipula ng search engine optimization (SEO). Ginagamit ng mga umaatake ang scheme na ito upang i-deploy ang BadIIS , isang banta na idinisenyo upang baguhin ang trapiko sa Web at i-redirect ang mga user sa mga bawal na destinasyon.
Talaan ng mga Nilalaman
Mga Pag-redirect na Dahil sa Pinansyal sa Mga Ilegal na Site ng Pagsusugal
Ang kampanya ay lumilitaw na hinihimok ng tubo, dahil ang mga nakompromisong server ay nagtutulak ng mga hindi pinaghihinalaang gumagamit patungo sa mga website ng ilegal na pagsusugal. Ang mga apektadong server ng IIS ay naka-link sa iba't ibang institusyon, kabilang ang mga ahensya ng gobyerno, unibersidad, kumpanya ng teknolohiya at mga provider ng telekomunikasyon. Kabilang sa mga apektadong rehiyon ang India, Thailand, Vietnam, Pilipinas, Singapore, Taiwan, South Korea, Japan at maging ang Brazil.
Manipulated na Trapiko at Mga Pagbabantang Pag-redirect
Kapag nakompromiso ang isang server, maaari itong maghatid ng binagong nilalaman sa mga papasok na bisita. Ginagamit ng mga umaatake ang kontrol na ito upang magpatupad ng mga pag-redirect sa mga site ng pagsusugal o upang ikonekta ang mga biktima sa masamang imprastraktura na nagho-host ng hindi ligtas na software o mga pahina sa pag-aani ng kredensyal. Ang diskarteng ito ay nagbibigay-daan sa mga cybercriminal na samantalahin ang lehitimong trapiko sa web para sa pinansyal na pakinabang o higit pang cyberattacks.
Ang Koneksyon ng DragonRank
Iniuugnay ng mga mananaliksik ang aktibidad na ito sa isang grupo ng pagbabanta na nagsasalita ng Chinese na kilala bilang DragonRank. Dati nang naidokumento bilang paggamit ng mga diskarte sa pagmamanipula ng SEO, ang DragonRank ay na-link sa pag-deploy ng BadIIS malware. Iminumungkahi ng ebidensya na ang grupong ito ay nag-evolve mula sa isang naunang aktor ng pagbabanta, na kilala sa mga cybersecurity circle bilang Group 9, na nagsasamantala sa mga server ng IIS para sa mga serbisyo ng proxy at SEO panloloko mula noong 2021.
Mga Patong-patong na Taktika sa Pangkat 11
Kapansin-pansin, ipinapakita ng mga kamakailang pagsisiyasat na ang mga natukoy na artifact ng malware ay may pagkakatulad sa isang variant na nauugnay sa isa pang entity, Group 11. Kasama sa bersyong ito ng BadIIS ang dalawahang paggana: ang isang mode ay nakatuon sa SEO fraud, habang ang isa ay nagtuturo ng kahina-hinalang JavaScript code sa mga tugon sa Web upang manipulahin ang trapiko ng bisita.
Paano Nire-redirect ng BadIIS ang mga Biktima
Maaaring harangin at baguhin ng BadIIS ang mga header ng tugon ng HTTP mula sa mga nakompromisong IIS server. Sa partikular, sinusuri nito ang mga field na 'User-Agent' at 'Referer' sa loob ng mga papasok na kahilingan sa HTTP. Kung ang mga patlang na ito ay naglalaman ng mga site ng portal ng paghahanap o mga naka-target na keyword, iniurong ng malware ang mga user sa isang hindi awtorisadong website ng pagsusugal sa halip na sa inaasahang lehitimong pahina. Ang naka-target na pag-redirect na ito ay nagbibigay-daan sa mga umaatake na samantalahin ang trapiko ng organic na paghahanap para sa kanilang sariling pakinabang.
