DragonRank SEO 攻擊

據觀察，威脅行為者將亞洲的網路資訊服務 (IIS) 伺服器作為搜尋引擎優化 (SEO) 操縱活動的一部分。攻擊者使用此方案部署BadIIS ，這是一種旨在改變 Web 流量並將使用者重新導向到非法目的地的威脅。

經濟動機的重定向至非法賭博網站

該活動似乎是以盈利為目的，因為被感染的伺服器會將毫無戒心的用戶引導至非法賭博網站。受影響的 IIS 伺服器與各種機構相連，包括政府機構、大學、科技公司和電信供應商。受影響的地區包括印度、泰國、越南、菲律賓、新加坡、台灣、韓國、日本甚至巴西。

操縱流量和威脅重定向

一旦伺服器受到威脅，它可能會向訪客提供更改的內容。攻擊者使用此控制來實現對賭博網站的重定向或將受害者連接到託管不安全軟體或憑證收集頁面的惡意基礎設施。這種技術允許網路犯罪分子利用合法的網路流量來獲取經濟利益或發動進一步的網路攻擊。

DragonRank 連線

研究人員將此活動歸咎於一個名為 DragonRank 的中文威脅組織。先前有記錄顯示，DragonRank 利用了 SEO 操縱策略，並與 BadIIS 惡意軟體的部署有關。有證據表明，該組織是由早期的威脅行為者（在網路安全圈被稱為 Group 9）發展而來的，該組織自 2021 年以來一直利用 IIS 伺服器進行代理服務和 SEO 詐欺。

與第 11 組重疊的戰術

有趣的是，最近的調查顯示，檢測到的惡意軟體工件與另一個實體 Group 11 相關的變體有相似之處。

BadIIS 如何重新導向受害者

BadIIS 可以攔截並修改受感染 IIS 伺服器的 HTTP 回應標頭。具體來說，它會檢查傳入的 HTTP 請求中的「User-Agent」和「Referer」欄位。如果這些欄位包含搜尋入口網站或目標關鍵字，則惡意軟體會將使用者重新路由到未經授權的賭博網站，而不是預期的合法頁面。這種有針對性的重定向允許攻擊者利用有機搜尋流量來謀取私利。