Tấn công SEO DragonRank
Các tác nhân đe dọa đã được phát hiện nhắm mục tiêu vào các máy chủ Dịch vụ thông tin Internet (IIS) ở Châu Á như một phần của chiến dịch thao túng tối ưu hóa công cụ tìm kiếm (SEO). Những kẻ tấn công sử dụng chương trình này để triển khai BadIIS , một mối đe dọa được thiết kế để thay đổi lưu lượng truy cập web và chuyển hướng người dùng đến các đích đến bất hợp pháp.
Mục lục
Chuyển hướng có động cơ tài chính đến các trang web cờ bạc bất hợp pháp
Chiến dịch này có vẻ như là vì lợi nhuận, vì các máy chủ bị xâm phạm dẫn dắt người dùng không nghi ngờ đến các trang web cờ bạc bất hợp pháp. Các máy chủ IIS bị ảnh hưởng được liên kết với nhiều tổ chức khác nhau, bao gồm các cơ quan chính phủ, trường đại học, công ty công nghệ và nhà cung cấp viễn thông. Các khu vực bị ảnh hưởng bao gồm Ấn Độ, Thái Lan, Việt Nam, Philippines, Singapore, Đài Loan, Hàn Quốc, Nhật Bản và thậm chí cả Brazil.
Giao thông bị thao túng và chuyển hướng đe dọa
Khi máy chủ bị xâm phạm, nó có thể cung cấp nội dung đã thay đổi cho khách truy cập. Kẻ tấn công sử dụng quyền kiểm soát này để thực hiện chuyển hướng đến các trang web cờ bạc hoặc kết nối nạn nhân với cơ sở hạ tầng độc hại lưu trữ phần mềm không an toàn hoặc các trang thu thập thông tin xác thực. Kỹ thuật này cho phép tội phạm mạng khai thác lưu lượng truy cập web hợp pháp để kiếm lợi nhuận hoặc các cuộc tấn công mạng tiếp theo.
Kết nối DragonRank
Các nhà nghiên cứu quy kết hoạt động này cho một nhóm đe dọa nói tiếng Trung Quốc có tên là DragonRank. Trước đây được ghi nhận là tận dụng các chiến lược thao túng SEO, DragonRank đã được liên kết với việc triển khai phần mềm độc hại BadIIS. Bằng chứng cho thấy nhóm này phát triển từ một tác nhân đe dọa trước đó, được biết đến trong giới an ninh mạng là Nhóm 9, đã khai thác máy chủ IIS cho các dịch vụ proxy và gian lận SEO kể từ năm 2021.
Chiến thuật chồng chéo với Nhóm 11
Điều thú vị là các cuộc điều tra gần đây cho thấy các hiện vật phần mềm độc hại được phát hiện có điểm tương đồng với một biến thể liên quan đến một thực thể khác, Nhóm 11. Phiên bản BadIIS này bao gồm chức năng kép: một chế độ tập trung vào gian lận SEO, trong khi chế độ còn lại đưa mã JavaScript đáng ngờ vào phản hồi trên Web để thao túng lưu lượng truy cập của khách truy cập.
BadIIS chuyển hướng nạn nhân như thế nào
BadIIS có thể chặn và sửa đổi tiêu đề phản hồi HTTP từ các máy chủ IIS bị xâm phạm. Cụ thể, nó kiểm tra các trường 'User-Agent' và 'Referer' trong các yêu cầu HTTP đến. Nếu các trường này chứa các trang web cổng thông tin tìm kiếm hoặc các từ khóa mục tiêu, phần mềm độc hại sẽ chuyển hướng người dùng đến một trang web cờ bạc trái phép thay vì trang hợp pháp dự kiến. Việc chuyển hướng mục tiêu này cho phép kẻ tấn công khai thác lưu lượng tìm kiếm tự nhiên vì lợi ích của riêng chúng.
