Tehdit aktörleri, Badiis kötü amaçlı yazılımları yüklemek için tasarlanmış bir Arama Motoru Optimizasyonu (SEO) manipülasyon kampanyasının bir parçası olarak Asya’daki İnternet Bilgi Hizmetleri (IIS) sunucularını hedefleyen gözlemlenmiştir.
Trend mikro araştırmacılar Ted Lee ve Lenart Bermejo geçen hafta yayınlanan bir analizde, “Kampanyanın finansal olarak motive olması muhtemeldir, çünkü kullanıcıları yasadışı kumar web sitelerine yönlendirmesi, saldırganların kar için badiis dağıttığını gösteriyor.” Dedi.
Kampanyanın hedefleri arasında Hindistan, Tayland, Vietnam, Filipinler, Singapur, Tayvan, Güney Kore, Japonya ve Brezilya’da bulunan IIS sunucuları bulunmaktadır. Bu sunucular hükümet, üniversiteler, teknoloji şirketleri ve telekomünikasyon sektörleri ile ilişkilidir.
Geri ihlal edilen sunuculara yönelik talepler, yeniden yönlendirmeden kumar sitelerine, kötü amaçlı yazılımlara veya kimlik bilgisi hasat sayfalarına ev sahipliği yapan haydut sunuculara bağlanmaya kadar, saldırganlardan değiştirilmiş içerik sunulabilir.
Etkinliğin, geçen yıl Cisco Talos tarafından SEO manipülasyon şemaları aracılığıyla Badiis kötü amaçlı yazılımları sunmak olarak belgelenen Dragonrank olarak bilinen Çince konuşan bir tehdit grubunun çalışması olduğundan şüpheleniliyor.
Dragonrank kampanyasının, 2021 yılında ESET tarafından Grup 9 olarak adlandırılan bir varlık ile ilişkili olduğu söyleniyor ve bu da proxy hizmetleri ve SEO sahtekarlığı için uzlaşmış IIS sunucularından yararlanıyor.
Bununla birlikte, trend Micro, tespit edilen kötü amaçlı yazılım artefaktlarının, SEO sahtekarlığı yürütmek ve şüpheli JavaScript kodunu meşru ziyaretçilerden gelen talepler için yanıtlara enjekte etmek için iki farklı mod içeren Grup 11 tarafından kullanılan bir varyantla benzerlikleri paylaştığını belirtti.
Araştırmacılar, “Yüklü badiis, web sunucusundan istenen HTTP yanıt üstbilgisi bilgilerini değiştirebilir.” Dedi. “Alınan HTTP üstbilgisindeki ‘Kullanıcı Ajanı’ ve ‘Yönlendirici’ alanlarını kontrol eder.”
“Bu alanlar belirli arama portalı siteleri veya anahtar kelimeler içeriyorsa, Badiis kullanıcıyı meşru bir web sayfası yerine çevrimiçi bir yasadışı kumar sitesiyle ilişkili bir sayfaya yönlendirir.”
Geliştirme, Çin tabanlı Funnull İçerik Dağıtım Ağını (CDN), altyapı aktörlerinin Amazon Web Services (AWS) ve Microsoft Azure gibi ana barındırma sağlayıcılarından IP adresleri kiraladığı bir uygulamaya bağlayan sessiz bir itme olarak geliyor. Onları suç web sitelerine ev sahipliği yapmak.
Funnull’un Amazon’dan 1.200’den fazla IP ve Microsoft’tan yaklaşık 200 IP kiraladığı söyleniyor, bunların hepsi o zamandan beri devredildi. Triad Nexus olarak adlandırılan kötü niyetli altyapı, perakende kimlik avı planlarını, romantizm yem aldatmacalarını ve sahte kumar siteleri aracılığıyla kara para aklama operasyonlarını körüklediği bulunmuştur.
Şirket, “Ancak yeni IP’ler sürekli olarak birkaç haftada bir ediniliyor.” Dedi. “Funnull muhtemelen bu IP’leri almak için hileli veya çalıntı hesapları kullanıyor.”