Азиатский цифровой шторм: BadIIS и Triad Nexus атакуют мир

Злоумышленники атакуют серверы Internet Information Services (IIS) в Азии в рамках кампании манипулирования поисковой оптимизацией (SEO), распространяющей вредоносное ПО BadIIS. Основной целью атаки является перенаправление пользователей на нелегальные азартные сайты, что указывает на финансовую мотивацию преступников.

Эксперты Trend Micro обнаружили , что атака затрагивает IIS-серверы в Индии, Таиланде, Вьетнаме, Филиппинах, Сингапуре, Тайване, Южной Корее, Японии и даже в Бразилии. Среди пострадавших — государственные учреждения, университеты, технологические компании и телекоммуникационные операторы. Взломанные серверы используются для изменения контента, включая редиректы на сайты с азартными играми, а также перенаправление пользователей на ресурсы с вредоносным ПО и страницами для кражи учётных данных.

Ответственность за атаку приписывается кибергруппировке DragonRank, говорящей на китайском языке. В прошлом году специалисты Cisco Talos уже зафиксировали применение этой группой вредоносного ПО BadIIS для манипулирования SEO. В свою очередь, ESET ранее связала DragonRank с другой известной группой — Group 9, которая использовала взломанные IIS-серверы для прокси-услуг и мошенничества с SEO.

Эксперты Trend Micro выделяют два режима работы BadIIS: манипуляция SEO и внедрение зловредного JavaScript-кода в веб-страницы. Вредоносное ПО изменяет HTTP-заголовки ответов сервера, проверяя значения «User-Agent» и «Referer». Если в заголовках содержатся ссылки на поисковые системы или определённые ключевые слова, BadIIS перенаправляет пользователя на нелегальный игровой сайт вместо легитимного ресурса.

Помимо атак на IIS-серверы, исследователи Silent Push выявили ещё одну схему — так называемое «отмывание инфраструктуры» (Infrastructure Laundering). В рамках этой методики преступники арендуют IP-адреса у крупных облачных провайдеров, таких как Amazon Web Services (AWS) и Microsoft Azure, и используют их для размещения мошеннических сайтов.

За этой схемой стоит китайская сеть контента Funnull, арендовавшая более 1200 IP-адресов у AWS и около 200 у Microsoft. Вся вредоносная инфраструктура, получившая название Triad Nexus, задействована в фишинговых кампаниях, мошенничестве с романтическими схемами и отмывании денег через фальшивые азартные сайты.

Несмотря на блокировку некоторых IP-адресов, Funnull продолжает регулярно получать новые, вероятно, используя поддельные или украденные учётные записи. Исследователи подчёркивают, что злоумышленники адаптируются к контрмерам и находят новые способы обхода защитных механизмов.