SEO-атака DragonRank
Було помічено, що зловмисники атакують сервери інформаційних служб Інтернету (IIS) в Азії в рамках кампанії маніпуляції з оптимізації пошукових систем (SEO). Зловмисники використовують цю схему для розгортання BadIIS , загрози, спрямованої на зміну веб-трафіку та перенаправлення користувачів на заборонені місця призначення.
Зміст
Фінансово мотивоване переспрямування на сайти незаконних азартних ігор
Схоже, що ця кампанія спрямована на отримання прибутку, оскільки скомпрометовані сервери спрямовують нічого не підозрюючих користувачів на веб-сайти нелегальних азартних ігор. Уражені сервери IIS пов’язані з різними установами, зокрема державними установами, університетами, технологічними фірмами та постачальниками телекомунікацій. Серед постраждалих регіонів – Індія, Таїланд, В’єтнам, Філіппіни, Сінгапур, Тайвань, Південна Корея, Японія та навіть Бразилія.
Маніпульований трафік і загрозливі перенаправлення
Якщо сервер зламано, він може надавати змінений вміст відвідувачам. Зловмисники використовують цей елемент керування, щоб здійснювати переспрямування на сайти азартних ігор або підключати жертв до шахрайської інфраструктури, на якій розміщено небезпечне програмне забезпечення або сторінки для збирання облікових даних. Ця техніка дозволяє кіберзлочинцям використовувати законний веб-трафік для фінансової вигоди або подальших кібератак.
Підключення DragonRank
Дослідники пояснюють цю діяльність китайськомовною групою загроз, відомою як DragonRank. Раніше було задокументовано як використання стратегій маніпулювання SEO, DragonRank було пов’язано з розгортанням зловмисного програмного забезпечення BadIIS. Докази свідчать про те, що ця група розвинулась із попередньої загрози, відомої в колах кібербезпеки як Group 9, яка з 2021 року використовувала сервери IIS для проксі-сервісів і SEO-шахрайства.
Збіг тактики з групою 11
Цікаво, що нещодавні розслідування показали, що виявлені артефакти зловмисного програмного забезпечення схожі на варіант, пов’язаний з іншою сутністю, групою 11. Ця версія BadIIS включає подвійні функції: один режим зосереджується на шахрайстві з пошуковою системою пошукових систем, а інший вставляє підозрілий код JavaScript у веб-відповіді для маніпулювання трафіком відвідувачів.
Як BadIIS перенаправляє жертв
BadIIS може перехоплювати та змінювати заголовки відповідей HTTP зі зламаних серверів IIS. Зокрема, він перевіряє поля «User-Agent» і «Referer» у вхідних HTTP-запитах. Якщо ці поля містять сайти пошукових порталів або цільові ключові слова, зловмисне програмне забезпечення перенаправляє користувачів на неавторизований веб-сайт азартних ігор замість очікуваної законної сторінки. Це цільове перенаправлення дозволяє зловмисникам використовувати звичайний пошуковий трафік для власної вигоди.
