Ssylka

Китайские хакеры DragonRank атакуют серверы IIS через вредоносное по BadIIS

В ходе масштабной кибератаки группировка DragonRank, предположительно базирующаяся в Китае, активно эксплуатирует уязвимости серверов Internet Information Services (IIS) в странах Азии. Злоумышленники используют вредоносное программное обеспечение BadIIS для манипуляции результатами поисковой выдачи и перенаправления пользователей на нелегальные сайты азартных игр.
Китайские хакеры DragonRank атакуют серверы IIS через вредоносное по BadIIS
Изображение носит иллюстративный характер

Исследователи Тед Ли и Ленарт Бермехо из компании Trend Micro обнаружили, что атаки затронули правительственные учреждения, университеты, технологические компании и телекоммуникационные организации в Индии, Таиланде, Вьетнаме, Филиппинах, Сингапуре, Тайване, Южной Корее, Японии и Бразилии.

Специалисты Cisco Talos выявили, что DragonRank распространяет BadIIS через схемы манипуляции SEO. Вредоносное ПО изменяет заголовки HTTP-ответов на основе полей "User-Agent" и "Referer", перенаправляя пользователей с определенных поисковых порталов на мошеннические сайты.

Эксперты ESET еще в 2021 году связали DragonRank с так называемой Group 9, которая использует скомпрометированные серверы IIS для прокси-сервисов и SEO-мошенничества. Параллельно действует Group 11, применяющая два различных режима для проведения SEO-махинаций и внедрения подозрительного JavaScript-кода.

Важную роль в инфраструктуре атак играет китайский CDN-провайдер Funnull, который арендовал более 1200 IP-адресов у Amazon Web Services и около 200 у Microsoft Azure для размещения вредоносных ресурсов. Все эти адреса были впоследствии заблокированы.

Компания Silent Push раскрыла, что созданная злоумышленниками инфраструктура под названием Triad Nexus активно используется для фишинга в сфере розничной торговли, романтических афер и отмывания денег через поддельные сайты азартных игр.

Эксперты отмечают, что группировка применяет комплексный подход, сочетая различные техники: манипуляцию поисковой выдачей, подмену HTTP-заголовков, использование прокси-серверов, кражу учетных данных и внедрение вредоносного JavaScript-кода в веб-страницы.


Новое на сайте

15310 15309Кэти перри и женский полёт на ракету Blue Origin вызвали бурю мнений 15308Как искусство помогает помнить о оккупации Гуэрнси? 15307Как лесные пожары в амазонии влияют на таяние антарктического льда? 15306Как пережить вдовство в 24 года: история Тании Помрой и сила TikTok 15305Может ли вселенная вращаться раз в 500 миллиардов лет? 15304Уязвимость в маршрутизаторах ASUS AiCloud: обновления прошивки обязательны 15303Жизнь с нарциссическим расстройством: взгляд изнутри 15302Почему лауреат Bafta прячет свою награду от маленькой дочери? 15301Как новое световое оформление изменит интерьер церкви? 15300Вирусный успех Vicky Ball — почему она не бросает работу преподавателя? 15299Темная галактика у млечного пути: открытие загадочного газового объекта 15298Новый цвет: "оло" и его открытие 15297Как музыкальная безопасность завоевывает молодежь: новый альбом CPSC 15296Влияние соцсетей и инфлюенсеров усиливает женоненавистничество в школах