DragonRank SEO 攻击：对 IIS 服务器的隐藏操纵

利用搜索排名的复杂策略

DragonRank SEO 攻击是针对互联网信息服务 (IIS)服务器（尤其是在亚洲和巴西部分地区）的攻击活动。此操作的目的是通过向网络内容注入恶意组件、将用户重定向到非法网站以及利用受感染的服务器获取经济利益来操纵搜索引擎排名。此活动与一个已知组织有关，该组织利用自定义后门（通常称为 BadIIS）来执行其策略。

DragonRank 的真正目标是什么？

此次攻击的主要目的似乎是通过利用搜索排名和未经授权的重定向来获取经济利益。通过入侵政府机构、大学和技术公司的 IIS 服务器，攻击者可以修改这些服务器对 Web 请求的响应方式。这样一来，他们就可以将毫无戒心的访问者重定向到未经授权的目的地，包括赌博网站和托管凭证盗窃页面的恶意平台。

操纵并不仅限于简单的重定向。攻击者部署了一种机制，用于检查传入请求中是否存在特定的搜索引擎标识符或关键字。如果发现匹配项，则用户将自动被发送到攻击者选择的网站，而不是预期的合法页面。这使威胁操作员能够操纵流量模式并影响搜索引擎算法，从而提高非法网站的可见性。

对组织和用户的影响

此次攻击的影响十分巨大，影响到网站所有者和访问者。托管 IIS 服务器的组织可能会发现其域名在不知情的情况下卷入搜索欺诈。这可能会导致信誉受损、安全漏洞以及被搜索引擎列入黑名单。此外，由于其中一些受感染的服务器属于政府机构和关键行业，如果攻击者的活动范围超出 SEO 欺诈，则存在更严重的数据泄露风险。

用户可能遭受的后果包括被重定向到误导性或非法网站，以及可能接触有害软件。其中一些恶意网站可能包含其他威胁，例如网络钓鱼企图或窃取敏感信息的企图。

链接到更大的网络犯罪网络

DragonRank 活动被认为与更广泛的网络犯罪活动网络有关。先前的研究已将此行动与一个名为 Group 9 的组织联系起来，该组织之前曾参与过类似的 IIS 服务器攻击。进一步的分析表明，它与另一个实体 Group 11 有重叠，后者采用了类似的策略，包括执行 SEO 欺诈和向网页注入有害脚本的能力。

这种威胁的另一个方面是它与基础设施洗钱有关——网络犯罪分子从主流托管服务提供商那里获取 IP 地址并将其用于欺骗目的。一个名为 Funnull 的中国网络与这种方法有关，据报道，它从 Amazon Web Services 和 Microsoft Azure 等提供商那里租用了数千个 IP 地址。这些 IP 与欺诈活动有关，包括网络钓鱼计划、金融欺诈和假赌博平台。

搜索引擎操纵的演变

此次攻击凸显了网络犯罪分子利用搜索算法进行非法攻击的趋势。通过劫持受信任的网络基础设施，他们可以绕过传统的检测机制并获得大量网络流量。此类策略不仅损害了搜索引擎的可靠性，还为可能在不知情的情况下与受感染网站互动的在线用户带来了新的风险。

随着网络犯罪分子的技术不断改进，组织必须采取主动措施来保护其网络环境。加强 IIS 服务器配置、监控流量异常和实施严格的安全控制可以帮助减轻 DragonRank 等活动带来的风险。同时，搜索引擎运营商和网络安全研究人员继续跟踪和应对这些不断演变的威胁。