- 19,463
- 40
- 8 Ноя 2022
Как хакеры маскируют свои действия, сливаясь с легитимным трафиком.
Злоумышленники атакуют серверы Internet Information Services ( IIS ) в Азии в рамках кампании манипулирования поисковой оптимизацией (SEO), распространяющей вредоносное ПО BadIIS. Основной целью атаки является перенаправление пользователей на нелегальные азартные сайты, что указывает на финансовую мотивацию преступников.
Эксперты Trend Micro Для просмотра ссылки Войдиили Зарегистрируйся , что атака затрагивает IIS-серверы в Индии, Таиланде, Вьетнаме, Филиппинах, Сингапуре, Тайване, Южной Корее, Японии и даже в Бразилии. Среди пострадавших — государственные учреждения, университеты, технологические компании и телекоммуникационные операторы. Взломанные серверы используются для изменения контента, включая редиректы на сайты с азартными играми, а также перенаправление пользователей на ресурсы с вредоносным ПО и страницами для кражи учётных данных.
Ответственность за атаку приписывается кибергруппировке DragonRank, говорящей на китайском языке. В прошлом году специалисты Cisco Talos Для просмотра ссылки Войдиили Зарегистрируйся применение этой группой вредоносного ПО BadIIS для манипулирования SEO. В свою очередь, ESET ранее Для просмотра ссылки Войди или Зарегистрируйся DragonRank с другой известной группой — Group 9, которая использовала взломанные IIS-серверы для прокси-услуг и мошенничества с SEO.
Эксперты Trend Micro выделяют два режима работы BadIIS: манипуляция SEO и внедрение зловредного JavaScript-кода в веб-страницы. Вредоносное ПО изменяет HTTP-заголовки ответов сервера, проверяя значения «User-Agent» и «Referer». Если в заголовках содержатся ссылки на поисковые системы или определённые ключевые слова, BadIIS перенаправляет пользователя на нелегальный игровой сайт вместо легитимного ресурса.
Помимо атак на IIS-серверы, исследователи Silent Push Для просмотра ссылки Войдиили Зарегистрируйся ещё одну схему — так называемое «отмывание инфраструктуры» (Infrastructure Laundering). В рамках этой методики преступники арендуют IP-адреса у крупных облачных провайдеров, таких как Amazon Web Services (AWS) и Microsoft Azure, и используют их для размещения мошеннических сайтов.
За этой схемой стоит китайская сеть контента Funnull , арендовавшая более 1200 IP-адресов у AWS и около 200 у Microsoft. Вся вредоносная инфраструктура, получившая название Triad Nexus, задействована в фишинговых кампаниях, мошенничестве с романтическими схемами и отмывании денег через фальшивые азартные сайты.
Несмотря на блокировку некоторых IP-адресов, Funnull продолжает регулярно получать новые, вероятно, используя поддельные или украденные учётные записи. Исследователи подчёркивают, что злоумышленники адаптируются к контрмерам и находят новые способы обхода защитных механизмов.
Злоумышленники атакуют серверы Internet Information Services ( IIS ) в Азии в рамках кампании манипулирования поисковой оптимизацией (SEO), распространяющей вредоносное ПО BadIIS. Основной целью атаки является перенаправление пользователей на нелегальные азартные сайты, что указывает на финансовую мотивацию преступников.
Эксперты Trend Micro Для просмотра ссылки Войди
Ответственность за атаку приписывается кибергруппировке DragonRank, говорящей на китайском языке. В прошлом году специалисты Cisco Talos Для просмотра ссылки Войди
Эксперты Trend Micro выделяют два режима работы BadIIS: манипуляция SEO и внедрение зловредного JavaScript-кода в веб-страницы. Вредоносное ПО изменяет HTTP-заголовки ответов сервера, проверяя значения «User-Agent» и «Referer». Если в заголовках содержатся ссылки на поисковые системы или определённые ключевые слова, BadIIS перенаправляет пользователя на нелегальный игровой сайт вместо легитимного ресурса.
Помимо атак на IIS-серверы, исследователи Silent Push Для просмотра ссылки Войди
За этой схемой стоит китайская сеть контента Funnull , арендовавшая более 1200 IP-адресов у AWS и около 200 у Microsoft. Вся вредоносная инфраструктура, получившая название Triad Nexus, задействована в фишинговых кампаниях, мошенничестве с романтическими схемами и отмывании денег через фальшивые азартные сайты.
Несмотря на блокировку некоторых IP-адресов, Funnull продолжает регулярно получать новые, вероятно, используя поддельные или украденные учётные записи. Исследователи подчёркивают, что злоумышленники адаптируются к контрмерам и находят новые способы обхода защитных механизмов.
- Источник новости
- www.securitylab.ru
