DragonRank SEO 攻击

据观察，威胁行为者针对亚洲的互联网信息服务 (IIS) 服务器发起了搜索引擎优化 (SEO) 操纵活动。攻击者利用此方案部署BadIIS ，这是一种旨在改变 Web 流量并将用户重定向到非法目的地的威胁。

出于经济动机的重定向至非法赌博网站

此次攻击活动似乎以盈利为目的，因为被入侵的服务器会将毫无戒心的用户引向非法赌博网站。受影响的 IIS 服务器与各种机构相连，包括政府机构、大学、科技公司和电信提供商。受影响的地区包括印度、泰国、越南、菲律宾、新加坡、台湾、韩国、日本甚至巴西。

操纵流量和威胁重定向

一旦服务器被入侵，它可能会向来访者提供修改后的内容。攻击者利用此控制将受害者重定向到赌博网站，或将受害者连接到托管不安全软件或凭证收集页面的恶意基础设施。这种技术允许网络犯罪分子利用合法的网络流量获取经济利益或进一步的网络攻击。

DragonRank 连接

研究人员将此活动归咎于一个名为 DragonRank 的中文威胁组织。DragonRank 之前曾被记录为利用 SEO 操纵策略，与 BadIIS 恶意软件的部署有关。有证据表明，该组织是从早期的威胁行为者（在网络安全圈被称为 Group 9）演变而来的，该组织自 2021 年以来一直在利用 IIS 服务器进行代理服务和 SEO 欺诈。

与第 11 组重叠的战术

有趣的是，最近的调查显示，检测到的恶意软件工件与另一个实体 Group 11 相关的变体有相似之处。此版本的 BadIIS 包含双重功能：一种模式专注于 SEO 欺诈，而另一种模式将可疑的 JavaScript 代码注入 Web 响应以操纵访问者流量。

BadIIS 如何重定向受害者

BadIIS 可以拦截和修改受感染 IIS 服务器的 HTTP 响应标头。具体来说，它会检查传入 HTTP 请求中的“User-Agent”和“Referer”字段。如果这些字段包含搜索门户网站或目标关键字，恶意软件会将用户重新路由到未经授权的赌博网站，而不是预期的合法页面。这种有针对性的重定向允许攻击者利用自然搜索流量为自己谋利。