DragonRank SEO-Angriff
Es wurde beobachtet, dass Bedrohungsakteure im Rahmen einer Manipulationskampagne zur Suchmaschinenoptimierung (SEO) die Internet Information Services (IIS)-Server in Asien ins Visier nahmen. Die Angreifer nutzen dieses Schema, um BadIIS einzusetzen, eine Bedrohung, die den Webverkehr manipulieren und Benutzer auf illegale Ziele umleiten soll.
Inhaltsverzeichnis
Finanziell motivierte Weiterleitungen zu illegalen Glücksspielseiten
Die Kampagne scheint gewinnorientiert zu sein, da kompromittierte Server ahnungslose Benutzer auf illegale Glücksspiel-Websites leiten. Die betroffenen IIS-Server sind mit verschiedenen Institutionen verbunden, darunter Regierungsbehörden, Universitäten, Technologieunternehmen und Telekommunikationsanbieter. Zu den betroffenen Regionen gehören Indien, Thailand, Vietnam, die Philippinen, Singapur, Taiwan, Südkorea, Japan und sogar Brasilien.
Manipulierter Datenverkehr und drohende Umleitungen
Sobald ein Server kompromittiert ist, kann er eingehenden Besuchern veränderte Inhalte bereitstellen. Die Angreifer nutzen diese Kontrolle, um Weiterleitungen zu Glücksspielseiten zu implementieren oder Opfer mit betrügerischer Infrastruktur zu verbinden, die unsichere Software oder Seiten zum Sammeln von Anmeldeinformationen hostet. Mit dieser Technik können Cyberkriminelle legitimen Webverkehr für finanzielle Gewinne oder weitere Cyberangriffe ausnutzen.
Die DragonRank-Verbindung
Forscher führen diese Aktivität auf eine chinesischsprachige Bedrohungsgruppe namens DragonRank zurück. DragonRank wurde bereits früher als SEO-Manipulationsgruppe dokumentiert und mit der Bereitstellung von BadIIS-Malware in Verbindung gebracht. Es gibt Hinweise darauf, dass sich diese Gruppe aus einem früheren Bedrohungsakteur entwickelt hat, der in Cybersicherheitskreisen als Gruppe 9 bekannt ist und seit 2021 IIS-Server für Proxy-Dienste und SEO-Betrug nutzt.
Überlappende Taktiken mit Gruppe 11
Interessanterweise haben aktuelle Untersuchungen ergeben, dass die erkannten Malware-Artefakte Ähnlichkeiten mit einer Variante aufweisen, die einer anderen Entität, der Gruppe 11, zugeordnet ist. Diese Version von BadIIS umfasst eine Doppelfunktionalität: Ein Modus konzentriert sich auf SEO-Betrug, während der andere verdächtigen JavaScript-Code in Web-Antworten einfügt, um den Besucherverkehr zu manipulieren.
So leitet BadIIS Opfer um
BadIIS kann HTTP-Antwortheader von den kompromittierten IIS-Servern abfangen und ändern. Insbesondere untersucht es die Felder „User-Agent“ und „Referer“ in eingehenden HTTP-Anfragen. Wenn diese Felder Suchportalseiten oder gezielte Schlüsselwörter enthalten, leitet die Malware Benutzer auf eine nicht autorisierte Glücksspiel-Website um, anstatt auf die erwartete legitime Seite. Diese gezielte Umleitung ermöglicht es Angreifern, organischen Suchverkehr zu ihrem eigenen Vorteil auszunutzen.
