DragonRank SEO 攻撃

脅威アクターが、検索エンジン最適化 (SEO) 操作キャンペーンの一環として、アジアのインターネット インフォメーション サービス (IIS) サーバーを標的にしていることが確認されています。攻撃者はこの手法を使用して、Web トラフィックを変更し、ユーザーを不正な宛先にリダイレクトするように設計された脅威であるBadIISを展開します。

金銭目的の違法ギャンブルサイトへのリダイレクト

この攻撃は営利目的のようで、侵入されたサーバーは何も知らないユーザーを違法ギャンブルのウェブサイトに誘導する。影響を受けた IIS サーバーは、政府機関、大学、テクノロジー企業、通信プロバイダーなど、さまざまな機関にリンクされている。影響を受けた地域には、インド、タイ、ベトナム、フィリピン、シンガポール、台湾、韓国、日本、さらにはブラジルも含まれる。

操作されたトラフィックと脅迫的なリダイレクト

サーバーが侵害されると、訪問者に変更されたコンテンツが提供される場合があります。攻撃者はこの制御を使用して、ギャンブル サイトへのリダイレクトを実装したり、安全でないソフトウェアや認証情報収集ページをホストする不正なインフラストラクチャに被害者を接続したりします。この手法により、サイバー犯罪者は正当な Web トラフィックを悪用して金銭的利益を得たり、さらなるサイバー攻撃を行ったりすることができます。

DragonRank コネクション

研究者らは、この活動は DragonRank として知られる中国語圏の脅威グループによるものだとしている。DragonRank は、SEO 操作戦略を活用していると以前にも記録されており、BadIIS マルウェアの展開にも関連している。証拠によると、このグループは、サイバーセキュリティ界では Group 9 として知られる以前の脅威アクターから進化したもので、2021 年以来、プロキシ サービスや SEO 詐欺のために IIS サーバーを悪用している。

グループ11との戦術の重複

興味深いことに、最近の調査により、検出されたマルウェア アーティファクトが、別のエンティティである Group 11 に関連する亜種と類似していることが明らかになりました。このバージョンの BadIIS には、2 つの機能が含まれています。1 つのモードは SEO 詐欺に焦点を当てており、もう 1 つのモードは Web 応答に疑わしい JavaScript コードを挿入して訪問者のトラフィックを操作します。

BadIIS が被害者をリダイレクトする方法

BadIIS は、侵害された IIS サーバーからの HTTP 応答ヘッダーを傍受して変更できます。具体的には、受信 HTTP 要求内の「User-Agent」フィールドと「Referer」フィールドを調べます。これらのフィールドに検索ポータル サイトまたはターゲット キーワードが含まれている場合、マルウェアはユーザーを、期待される正当なページではなく、許可されていないギャンブル Web サイトにリダイレクトします。このターゲット リダイレクトにより、攻撃者はオーガニック検索トラフィックを自分の利益のために悪用できます。