В ходе масштабной кибератаки группировка DragonRank, предположительно базирующаяся в Китае, активно эксплуатирует уязвимости серверов Internet Information Services (IIS) в странах Азии. Злоумышленники используют вредоносное программное обеспечение BadIIS для манипуляции результатами поисковой выдачи и перенаправления пользователей на нелегальные сайты азартных игр.
Исследователи Тед Ли и Ленарт Бермехо из компании Trend Micro обнаружили, что атаки затронули правительственные учреждения, университеты, технологические компании и телекоммуникационные организации в Индии, Таиланде, Вьетнаме, Филиппинах, Сингапуре, Тайване, Южной Корее, Японии и Бразилии.
Специалисты Cisco Talos выявили, что DragonRank распространяет BadIIS через схемы манипуляции SEO. Вредоносное ПО изменяет заголовки HTTP-ответов на основе полей "User-Agent" и "Referer", перенаправляя пользователей с определенных поисковых порталов на мошеннические сайты.
Эксперты ESET еще в 2021 году связали DragonRank с так называемой Group 9, которая использует скомпрометированные серверы IIS для прокси-сервисов и SEO-мошенничества. Параллельно действует Group 11, применяющая два различных режима для проведения SEO-махинаций и внедрения подозрительного JavaScript-кода.
Важную роль в инфраструктуре атак играет китайский CDN-провайдер Funnull, который арендовал более 1200 IP-адресов у Amazon Web Services и около 200 у Microsoft Azure для размещения вредоносных ресурсов. Все эти адреса были впоследствии заблокированы.
Компания Silent Push раскрыла, что созданная злоумышленниками инфраструктура под названием Triad Nexus активно используется для фишинга в сфере розничной торговли, романтических афер и отмывания денег через поддельные сайты азартных игр.
Эксперты отмечают, что группировка применяет комплексный подход, сочетая различные техники: манипуляцию поисковой выдачей, подмену HTTP-заголовков, использование прокси-серверов, кражу учетных данных и внедрение вредоносного JavaScript-кода в веб-страницы.
Изображение носит иллюстративный характер
Исследователи Тед Ли и Ленарт Бермехо из компании Trend Micro обнаружили, что атаки затронули правительственные учреждения, университеты, технологические компании и телекоммуникационные организации в Индии, Таиланде, Вьетнаме, Филиппинах, Сингапуре, Тайване, Южной Корее, Японии и Бразилии.
Специалисты Cisco Talos выявили, что DragonRank распространяет BadIIS через схемы манипуляции SEO. Вредоносное ПО изменяет заголовки HTTP-ответов на основе полей "User-Agent" и "Referer", перенаправляя пользователей с определенных поисковых порталов на мошеннические сайты.
Эксперты ESET еще в 2021 году связали DragonRank с так называемой Group 9, которая использует скомпрометированные серверы IIS для прокси-сервисов и SEO-мошенничества. Параллельно действует Group 11, применяющая два различных режима для проведения SEO-махинаций и внедрения подозрительного JavaScript-кода.
Важную роль в инфраструктуре атак играет китайский CDN-провайдер Funnull, который арендовал более 1200 IP-адресов у Amazon Web Services и около 200 у Microsoft Azure для размещения вредоносных ресурсов. Все эти адреса были впоследствии заблокированы.
Компания Silent Push раскрыла, что созданная злоумышленниками инфраструктура под названием Triad Nexus активно используется для фишинга в сфере розничной торговли, романтических афер и отмывания денег через поддельные сайты азартных игр.
Эксперты отмечают, что группировка применяет комплексный подход, сочетая различные техники: манипуляцию поисковой выдачей, подмену HTTP-заголовков, использование прокси-серверов, кражу учетных данных и внедрение вредоносного JavaScript-кода в веб-страницы.
