SEO-атака DragonRank: скрытое манипулирование серверами IIS
Table of Contents
Изощренная стратегия использования рейтингов поиска
DragonRank SEO Attack — это кампания, нацеленная на серверы Internet Information Services (IIS) , особенно в некоторых частях Азии и Бразилии. Целью этой операции является манипулирование рейтингами поисковых систем путем внедрения вредоносных компонентов в веб-контент, перенаправления пользователей на незаконные веб-сайты и использования взломанных серверов для получения финансовой выгоды. Эта деятельность связана с известной группой, которая использует пользовательский бэкдор, часто называемый BadIIS, для реализации своей стратегии.
Какова истинная цель DragonRank?
Основная цель этой атаки, по-видимому, заключается в финансовой прибыли, достигаемой посредством эксплуатации рейтинга поиска и несанкционированных перенаправлений. Взламывая серверы IIS, принадлежащие государственным учреждениям, университетам и технологическим фирмам, злоумышленники изменяют способ реагирования этих серверов на веб-запросы. Это позволяет им перенаправлять ничего не подозревающих посетителей на несанкционированные сайты, включая сайты азартных игр и мошеннические платформы, на которых размещаются страницы кражи учетных данных.
Манипуляция не ограничивается простыми перенаправлениями. Злоумышленники используют механизм, который проверяет входящие запросы на наличие определенных идентификаторов поисковой системы или ключевых слов. Если совпадение найдено, пользователь автоматически перенаправляется на сайт, выбранный злоумышленником, вместо ожидаемой законной страницы. Это позволяет операторам угроз манипулировать шаблонами трафика и влиять на алгоритмы поисковой системы, повышая видимость незаконных сайтов.
Последствия для организаций и пользователей
Влияние этой атаки значительно, оно затрагивает как владельцев веб-сайтов, так и посетителей. Организации, размещающие серверы IIS, могут обнаружить, что их домены вовлечены в мошенничество с поиском без их ведома. Это может привести к потере доверия, нарушениям безопасности и потенциальному внесению в черный список поисковыми системами. Кроме того, поскольку некоторые из этих скомпрометированных серверов принадлежат государственным учреждениям и критически важным отраслям, существует риск более серьезных утечек данных, если злоумышленники выйдут за рамки мошенничества с поисковой оптимизацией.
Последствия для пользователей варьируются от перенаправления на вводящие в заблуждение или незаконные сайты до потенциального воздействия вредоносного программного обеспечения. Некоторые из этих мошеннических сайтов могут содержать дополнительные угрозы, такие как попытки фишинга или попытки сбора конфиденциальной информации.
Связи с более крупными сетями киберпреступности
Кампания DragonRank, как полагают, связана с более широкой сетью киберпреступной деятельности. Предыдущие исследования связывали эту операцию с группой, обозначенной как Group 9, которая ранее занималась аналогичными взломами серверов IIS. Дальнейший анализ показывает, что она пересекается с отдельной организацией, Group 11, которая использует схожие тактики, включая способность выполнять SEO-мошенничество и внедрять вредоносные скрипты в веб-страницы.
Другим аспектом этой угрозы является ее связь с отмыванием инфраструктуры — практикой, когда киберпреступники приобретают IP-адреса у основных хостинг-провайдеров и используют их в обманных целях. Базирующаяся в Китае сеть, известная как Funnull, была связана с этим методом, как сообщается, арендуя тысячи IP-адресов у таких провайдеров, как Amazon Web Services и Microsoft Azure. Эти IP-адреса были связаны с мошеннической деятельностью, включая фишинговые схемы, финансовое мошенничество и поддельные игровые платформы.
Эволюция манипуляций поисковыми системами
Эта атака подчеркивает растущую тенденцию, в которой киберпреступники используют алгоритмы поиска в незаконных целях. Захватывая доверенную веб-инфраструктуру, они обходят традиционные механизмы обнаружения и получают доступ к значительному веб-трафику. Такая тактика не только вредит надежности поисковой системы, но и создает новые риски для пользователей сети, которые могут неосознанно взаимодействовать с скомпрометированными веб-сайтами.
По мере того, как киберпреступники совершенствуют свои методы, организации должны предпринимать упреждающие шаги для защиты своих веб-сред. Усиление конфигураций серверов IIS, мониторинг аномалий трафика и внедрение строгих мер контроля безопасности могут помочь снизить риски, создаваемые такими кампаниями, как DragonRank. Между тем, операторы поисковых систем и исследователи кибербезопасности продолжают отслеживать и противодействовать этим развивающимся угрозам.
