Ssylka

Китайские хакеры DragonRank атакуют серверы IIS через вредоносное по BadIIS

В ходе масштабной кибератаки группировка DragonRank, предположительно базирующаяся в Китае, активно эксплуатирует уязвимости серверов Internet Information Services (IIS) в странах Азии. Злоумышленники используют вредоносное программное обеспечение BadIIS для манипуляции результатами поисковой выдачи и перенаправления пользователей на нелегальные сайты азартных игр.
Китайские хакеры DragonRank атакуют серверы IIS через вредоносное по BadIIS
Изображение носит иллюстративный характер

Исследователи Тед Ли и Ленарт Бермехо из компании Trend Micro обнаружили, что атаки затронули правительственные учреждения, университеты, технологические компании и телекоммуникационные организации в Индии, Таиланде, Вьетнаме, Филиппинах, Сингапуре, Тайване, Южной Корее, Японии и Бразилии.

Специалисты Cisco Talos выявили, что DragonRank распространяет BadIIS через схемы манипуляции SEO. Вредоносное ПО изменяет заголовки HTTP-ответов на основе полей "User-Agent" и "Referer", перенаправляя пользователей с определенных поисковых порталов на мошеннические сайты.

Эксперты ESET еще в 2021 году связали DragonRank с так называемой Group 9, которая использует скомпрометированные серверы IIS для прокси-сервисов и SEO-мошенничества. Параллельно действует Group 11, применяющая два различных режима для проведения SEO-махинаций и внедрения подозрительного JavaScript-кода.

Важную роль в инфраструктуре атак играет китайский CDN-провайдер Funnull, который арендовал более 1200 IP-адресов у Amazon Web Services и около 200 у Microsoft Azure для размещения вредоносных ресурсов. Все эти адреса были впоследствии заблокированы.

Компания Silent Push раскрыла, что созданная злоумышленниками инфраструктура под названием Triad Nexus активно используется для фишинга в сфере розничной торговли, романтических афер и отмывания денег через поддельные сайты азартных игр.

Эксперты отмечают, что группировка применяет комплексный подход, сочетая различные техники: манипуляцию поисковой выдачей, подмену HTTP-заголовков, использование прокси-серверов, кражу учетных данных и внедрение вредоносного JavaScript-кода в веб-страницы.


Новое на сайте

13509Что скрывает загадочный клад Мелсонби? 13508Может ли новый резервуар предотвратить наводнения? 13507Венеция: чудо из дерева, грязи и воды 13506Может ли купание под звёздами преобразить ваше восприятие мира? 13505Как распространение спортивной ходьбы трансформировало спортивную сферу в XIX столетии? 13504Защита критических данных с помощью PAM 13503Перестановка в «Малкольме»: новый Дьюи возрождает культовый сериал 13502Ошибочная декофеинизация: отзыв кофейного продукта в США 13501Как уличная фотография меняет модный мир? 13500Лучшее снаряжение для солнечного затмения 2025 13499Отмена тура FKA Twigs из-за визовых проблем 13498Как выбрать надежный трехрядный SUV за менее чем 30 000 долларов? 13497Как миф о превосходстве моногамии разрушается научными данными? 13496Любовный треугольник на южном побережье: как пара скопа справится с конкуренцией? 13495Революционное открытие: прото­планетные диски оказались значительно меньше, чем считалось...