Aktor ancaman telah diamati menargetkan server layanan informasi internet (IIS) di Asia sebagai bagian dari kampanye manipulasi Optimasi Mesin Pencari (SEO) yang dirancang untuk menginstal Malware Badiis.
“Kemungkinan kampanye ini termotivasi secara finansial karena mengarahkan pengguna ke situs web perjudian ilegal menunjukkan bahwa penyerang menggunakan Badiis untuk mendapatkan keuntungan,” kata peneliti mikro tren Ted Lee dan Lenart Bermejo dalam sebuah analisis yang diterbitkan minggu lalu,
Target kampanye termasuk server IIS yang berlokasi di India, Thailand, Vietnam, Filipina, Singapura, Taiwan, Korea Selatan, Jepang, dan Brasil. Server -server ini terkait dengan pemerintah, universitas, perusahaan teknologi, dan sektor telekomunikasi.
Permintaan ke server yang dikompromikan kemudian dapat dilayani konten yang diubah dari penyerang, mulai dari pengalihan ke situs judi hingga terhubung ke server nakal yang menjadi tuan rumah malware atau halaman pemanenan kredensial.
Diduga bahwa kegiatan tersebut adalah karya kelompok ancaman berbahasa Cina yang dikenal sebagai Dragonrank, yang didokumentasikan oleh Cisco Talos tahun lalu sebagai memberikan malware Badiis melalui skema manipulasi SEO.
Kampanye Dragonrank, pada gilirannya, dikatakan dikaitkan dengan entitas yang disebut sebagai Grup 9 oleh ESET pada tahun 2021 yang memanfaatkan server IIS yang dikompromikan untuk layanan proxy dan penipuan SEO.
Tren Micro, bagaimanapun, mencatat bahwa artefak malware yang terdeteksi berbagi kesamaan dengan varian yang digunakan oleh Grup 11, menampilkan dua mode berbeda untuk melakukan penipuan SEO dan menyuntikkan kode javascript yang mencurigakan ke dalam tanggapan untuk permintaan dari pengunjung yang sah.
“BADII yang diinstal dapat mengubah informasi header respons HTTP yang diminta dari server web,” kata para peneliti. “Ini memeriksa bidang 'agen-pengguna' dan 'referer' di header http yang diterima.”
“Jika bidang ini berisi situs portal pencarian tertentu atau kata kunci, BADII mengarahkan pengguna ke halaman yang terkait dengan situs judi ilegal online alih -alih halaman web yang sah.”
Perkembangan ini datang sebagai dorongan diam yang mengaitkan jaringan pengiriman konten funnull yang berbasis di China (CDN) dengan praktik yang disebutnya pencucian infrastruktur, di mana aktor ancaman menyewa alamat IP dari penyedia hosting utama seperti Amazon Web Services (AWS) dan Microsoft Azure dan Penggunaan mereka menjadi tuan rumah situs web kriminal.
Funnull dikatakan telah menyewa lebih dari 1.200 IP dari Amazon dan hampir 200 IP dari Microsoft, yang semuanya telah diturunkan. Infrastruktur jahat, yang dijuluki Triad Nexus, telah ditemukan untuk memicu skema phishing ritel, penipuan umpan romantis, dan operasi pencucian uang melalui situs perjudian palsu.
“Tapi IP baru terus diperoleh setiap beberapa minggu,” kata perusahaan itu. “Funnull kemungkinan menggunakan akun penipuan atau dicuri untuk memperoleh IP ini untuk memetakan ke cname mereka.”
