Kyberzločinci byli pozorováni, jak cílí na servery Internet Information Services (IIS) v Asii v rámci kampaně manipulace s optimalizací pro vyhledávače (SEO), která má za cíl instalovat malware BadIIS.
„Je pravděpodobné, že kampaň je finančně motivovaná, protože přesměrování uživatelů na nelegální hazardní stránky ukazuje, že útočníci nasazují BadIIS za účelem zisku,“ uvedli experti společnosti Trend Micro Ted Lee a Lenart Bermejo.
Cíle kampaně zahrnují IIS servery umístěné v Indii, Thajsku, Vietnamu, na Filipínách, v Singapuru, na Tchaj-wanu, v Jižní Koreji, Japonsku a Brazílii. Tyto servery jsou spojeny s vládními institucemi, univerzitami, technologickými společnostmi a sektory telekomunikací.
Požadavky na kompromitované servery mohou být následně obsluhovány upraveným obsahem od útočníků, od přesměrování na hazardní stránky až po připojení k podvodným serverům, které hostují malware nebo stránky pro krádež přihlašovacích údajů. Předpokládá se, že za touto aktivitou stojí čínsky mluvící skupina hrozeb známá jako DragonRank, kterou loni zdokumentovala společnost Cisco Talos jako dodavatele malwaru BadIIS prostřednictvím SEO manipulačních schémat.
Kampaň DragonRank je podle všeho spojena s entitou označovanou jako Skupina 9, kterou v roce 2021 popsala společnost ESET. Tato skupina využívá kompromitované IIS servery pro proxy služby a SEO podvody.
Společnost Trend Micro však poznamenala, že detekované artefakty malwaru sdílejí podobnosti s variantou používanou Skupinou 11, která obsahuje dva různé režimy pro provádění SEO podvodů a vkládání podezřelého JavaScriptového kódu do odpovědí na požadavky od legitimních návštěvníků.
„Nainstalovaný BadIIS může měnit informace v hlavičce HTTP odpovědi požadované z webového serveru,“ uvedli experti. „Kontroluje pole ‚User-Agent‘ a ‚Referer‘ v přijaté HTTP hlavičce. Pokud tato pole obsahují specifické portály vyhledávačů nebo klíčová slova, BadIIS přesměruje uživatele na stránku spojenou s nelegální online hazardní stránkou místo legitimní webové stránky.“
Tento vývoj přichází v době, kdy společnost Silent Push spojila čínskou síť pro doručování obsahu (CDN) Funnull s praktikou, kterou nazývá „praní infrastruktury“. Při této praxi si kyberzločinci pronajímají IP adresy od mainstreamových poskytovatelů hostingu, jako jsou Amazon Web Services (AWS) a Microsoft Azure, a používají je k hostování kriminálních webových stránek.
Zdroj: The Hacker News
Zdroj: IT SECURITY NETWORK NEWS