HackerNews 编译,转载请注明出处:
据研究人员观察,网络攻击者正在针对亚洲地区的互联网信息服务(IIS)服务器发起攻击,安装名为BadIIS的恶意软件,以实施搜索引擎优化(SEO)操纵活动。
趋势科技的研究人员泰德·李和伦纳特·贝尔梅霍在上周发布的分析报告中指出:“该活动很可能是出于经济动机,因为攻击者将用户重定向至非法赌博网站,表明他们利用BadIIS是为了谋取利润。”
此次攻击活动的目标包括印度、泰国、越南、菲律宾、新加坡、中国台湾、韩国、日本和巴西的IIS服务器,涉及政府、大学、科技公司和电信行业等多个领域。
攻击者通过向受感染服务器发送请求,可向用户推送篡改后的内容,包括将用户重定向至赌博网站,或连接到托管恶意软件或凭据收集页面的恶意服务器。
据推测,此次攻击活动可能与中国DragonRank威胁团伙有关。该团伙以使用SEO操纵手段传播BadIIS恶意软件而闻名,其活动曾在2024年被思科Talos记录。此外,DragonRank的活动还与ESET在2021年提到的“9号团伙”有关,后者利用受感染的IIS服务器提供代理服务并实施SEO欺诈。
趋势科技指出,此次检测到的恶意软件样本与“11号团伙”使用的变种存在相似之处,具有两种模式:一是通过篡改HTTP响应头信息实施SEO欺诈,二是向合法访问者的响应中注入可疑JavaScript代码。
研究人员表示:“BadIIS可以篡改来自网络服务器的HTTP响应头信息,它会检查收到的HTTP头中的‘用户代理’和‘来源’字段。如果这些字段包含特定的搜索引擎站点或关键词,BadIIS会将用户重定向至与非法在线赌博网站相关的页面,而不是合法网页。”
与此同时,Silent Push将中国Funnull内容分发网络(CDN)与一种名为“基础设施洗白”的行为联系起来。攻击者通过从亚马逊网络服务(AWS)和微软Azure等主流托管提供商处租用IP地址,用于托管犯罪网站。Funnull被指从亚马逊租用了超过1200个IP地址,从微软租用了近200个IP地址,这些恶意基础设施已被全部关停。然而,该公司表示:“Funnull每隔几周就会持续获取新的IP地址,很可能是通过欺诈或被盗账户获取这些IP地址,以映射到其CNAME。”
消息来源:The Hacker News, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
