DragonRank SEO Saldırısı
Tehdit aktörlerinin, bir arama motoru optimizasyonu (SEO) manipülasyon kampanyasının parçası olarak Asya'daki İnternet Bilgi Hizmetleri (IIS) sunucularını hedef aldığı gözlemlendi. Saldırganlar, Web trafiğini değiştirmek ve kullanıcıları yasadışı hedeflere yönlendirmek için tasarlanmış bir tehdit olan BadIIS'yi dağıtmak için bu şemayı kullanıyor.
İçindekiler
Finansal Motivasyonlu Yasadışı Kumar Sitelerine Yönlendirmeler
Kampanya kâr odaklı görünüyor, çünkü tehlikeye atılan sunucular şüphelenmeyen kullanıcıları yasadışı kumar sitelerine yönlendiriyor. Etkilenen IIS sunucuları, hükümet kurumları, üniversiteler, teknoloji firmaları ve telekomünikasyon sağlayıcıları dahil olmak üzere çeşitli kurumlarla bağlantılı. Etkilenen bölgeler arasında Hindistan, Tayland, Vietnam, Filipinler, Singapur, Tayvan, Güney Kore, Japonya ve hatta Brezilya yer alıyor.
Manipüle Edilen Trafik ve Tehdit Edici Yönlendirmeler
Bir sunucu tehlikeye girdiğinde, gelen ziyaretçilere değiştirilmiş içerik sunabilir. Saldırganlar bu kontrolü kumar sitelerine yönlendirmeler uygulamak veya kurbanları güvenli olmayan yazılım veya kimlik bilgisi toplayan sayfalar barındıran sahte altyapıya bağlamak için kullanır. Bu teknik, siber suçluların meşru web trafiğini finansal kazanç veya daha fazla siber saldırı için kullanmalarına olanak tanır.
DragonRank Bağlantısı
Araştırmacılar bu aktiviteyi DragonRank olarak bilinen Çince konuşan bir tehdit grubuna atfediyorlar. Daha önce SEO manipülasyon stratejilerinden yararlandığı belgelenen DragonRank, BadIIS kötü amaçlı yazılımının dağıtımıyla ilişkilendirildi. Kanıtlar, bu grubun, 2021'den beri proxy hizmetleri ve SEO dolandırıcılığı için IIS sunucularını kullanan siber güvenlik çevrelerinde Grup 9 olarak bilinen daha eski bir tehdit aktöründen evrildiğini gösteriyor.
Grup 11 ile Çakışan Taktikler
İlginçtir ki, son araştırmalar tespit edilen kötü amaçlı yazılım eserlerinin başka bir varlık olan Grup 11 ile ilişkilendirilen bir varyanta benzerlikler taşıdığını ortaya koyuyor. BadIIS'in bu sürümü ikili işlevsellik içeriyor: bir mod SEO dolandırıcılığına odaklanırken, diğeri ziyaretçi trafiğini manipüle etmek için Web yanıtlarına şüpheli JavaScript kodu enjekte ediyor.
BadIIS Mağdurları Nasıl Yönlendirir
BadIIS, tehlikeye atılmış IIS sunucularından HTTP yanıt başlıklarını yakalayabilir ve değiştirebilir. Özellikle, gelen HTTP isteklerindeki 'Kullanıcı Aracısı' ve 'Yönlendiren' alanlarını inceler. Bu alanlar arama portalı siteleri veya hedeflenen anahtar sözcükler içeriyorsa, kötü amaçlı yazılım kullanıcıları beklenen meşru sayfa yerine yetkisiz bir kumar web sitesine yönlendirir. Bu hedeflenen yönlendirme, saldırganların kendi çıkarları için organik arama trafiğini istismar etmelerine olanak tanır.
