DragonRank SEO Attack: Az IIS-kiszolgálók rejtett manipulálása

Kifinomult stratégia a keresési rangsorok kihasználására

A DragonRank SEO Attack egy olyan kampány, amely az Internet Information Services (IIS) szervereit célozza meg, különösen Ázsia és Brazília egyes részein. Ennek a műveletnek a célja a keresőmotorok rangsorolásának manipulálása azáltal, hogy rosszindulatú összetevőket juttat a webtartalomba, a felhasználókat illegális webhelyekre irányítja át, és pénzügyi haszonszerzés céljából kihasználja a feltört szervereket. Ez a tevékenység egy ismert csoporthoz kapcsolódik, amely egy egyéni hátsó ajtót használ, amelyet gyakran BadIIS-ként azonosítanak a stratégiájuk végrehajtásához.

Mi a DragonRank valódi célja?

Úgy tűnik, hogy a támadás mögött az elsődleges cél a pénzügyi haszon, amelyet a keresési rangsor kihasználásával és jogosulatlan átirányításokkal érnek el. A kormányhivatalokhoz, egyetemekhez és technológiai cégekhez tartozó IIS-szerverek feltörésével a támadók módosítják, hogy ezek a szerverek hogyan válaszolnak a webes kérésekre. Ez lehetővé teszi számukra, hogy a gyanútlan látogatókat jogosulatlan úti célokra irányítsák át, beleértve a szerencsejáték-oldalakat és a hitelesítő adatok ellopására szolgáló oldalakat kiszolgáló szélhámos platformokat.

A manipuláció nem áll meg az egyszerű átirányításoknál. A támadók olyan mechanizmust alkalmaznak, amely ellenőrzi a bejövő kéréseket meghatározott keresőmotor-azonosítók vagy kulcsszavak után. Ha talál egyezést, a felhasználó automatikusan a támadó által választott webhelyre kerül a várt legitim oldal helyett. Ez lehetővé teszi a fenyegetések operátorai számára, hogy manipulálják a forgalmi mintákat és befolyásolják a keresőmotorok algoritmusait, javítva az illegális webhelyek láthatóságát.

Következmények a szervezetekre és a felhasználókra nézve

A támadás hatása jelentős, mind a webhelytulajdonosokat, mind a látogatókat érinti. Az IIS-kiszolgálókat üzemeltető szervezetek a tudtukon kívül is rátalálhatnak a keresési csalásokra. Ez a hitelesség elvesztéséhez, a biztonság megsértéséhez és a keresőmotorok esetleges feketelistájához vezethet. Ezen túlmenően, mivel ezeknek a feltört szervereknek egy része kormányzati intézményekhez és kritikus iparágakhoz tartozik, súlyosabb adatszivárgás veszélye áll fenn, ha a támadók kiterjesztik tevékenységüket a SEO-csaláson túlra.

A felhasználók következményei a félrevezető vagy illegális webhelyekre való átirányítástól a káros szoftvereknek való esetleges kitettségig terjednek. Ezen szélhámos webhelyek némelyike további fenyegetéseket is tartalmazhat, például adathalászati kísérleteket vagy érzékeny információk begyűjtésére irányuló kísérleteket.

Linkek a nagyobb számítástechnikai bűnözési hálózatokhoz

A DragonRank kampány vélhetően a kiberbűnözői tevékenységek szélesebb hálózatához kapcsolódik. A korábbi kutatások ezt a műveletet egy Group 9 nevű csoporthoz kapcsolták, amely korábban hasonló IIS-szerver-kompromittálással foglalkozott. További elemzések azt sugallják, hogy átfedésben van egy különálló entitással, a 11-es csoporttal, amely hasonló taktikákat alkalmaz, beleértve a SEO csalás végrehajtásának és a weboldalakra káros szkriptek beillesztésének képességét.

Ennek a fenyegetésnek egy másik aspektusa az infrastruktúra-mosással való kapcsolata – ez a gyakorlat, amikor a kiberbűnözők IP-címeket szereznek be a főbb tárhelyszolgáltatóktól, és megtévesztő célokra használják fel azokat. A Funnull néven ismert kínai hálózatot kapcsolták ehhez a módszerhez, amely állítólag több ezer IP-címet bérel olyan szolgáltatóktól, mint az Amazon Web Services és a Microsoft Azure. Ezeket az IP-ket csalárd tevékenységekkel, köztük adathalász rendszerekkel, pénzügyi csalással és hamis szerencsejáték-platformokkal kapcsolták össze.

A keresőmotor-manipuláció evolúciója

Ez a támadás rávilágít arra a növekvő tendenciára, amelyben a kiberbűnözők tiltott célokra használják ki a keresési algoritmusokat. A megbízható webes infrastruktúra eltérítésével megkerülik a hagyományos észlelési mechanizmusokat, és jelentős internetes forgalomhoz jutnak hozzá. Az ilyen taktikák nemcsak a keresőmotorok megbízhatóságát rontják, hanem új kockázatokat is jelentenek az online felhasználók számára, akik tudtukon kívül kapcsolatba léphetnek a feltört webhelyekkel.

Ahogy a kiberbűnözők finomítják technikáikat, a szervezeteknek proaktív lépéseket kell tenniük webes környezetük biztonsága érdekében. Az IIS-kiszolgáló konfigurációjának megerősítése, a forgalmi anomáliák figyelése és a szigorú biztonsági ellenőrzések bevezetése segíthet csökkenteni a DragonRank-hoz hasonló kampányok által jelentett kockázatokat. Eközben a keresőmotorok üzemeltetői és a kiberbiztonsági kutatók továbbra is nyomon követik és ellensúlyozzák ezeket a fejlődő fenyegetéseket.