Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

Злоумышленники атакуют серверы Internet Information Services (IIS) в Азии

10/02/25

hack42-1

Основной целью атаки является перенаправление пользователей на нелегальные азартные сайты, что указывает на финансовую мотивацию преступников, пишет Securitylab.

Эксперты Trend Micro обнаружили, что атака затрагивает IIS-серверы в Индии, Таиланде, Вьетнаме, Филиппинах, Сингапуре, Тайване, Южной Корее, Японии и даже в Бразилии. Среди пострадавших — государственные учреждения, университеты, технологические компании и телекоммуникационные операторы.

Взломанные серверы используются для изменения контента, включая редиректы на сайты с азартными играми, а также перенаправление пользователей на ресурсы с вредоносным ПО и страницами для кражи учётных данных.

Ответственность за атаку приписывается кибергруппировке DragonRank, говорящей на китайском языке. В прошлом году специалисты Cisco Talos уже зафиксировали применение этой группой вредоносного ПО BadIIS для манипулирования SEO. В свою очередь, ESET ранее связала DragonRank с другой известной группой — Group 9, которая использовала взломанные IIS-серверы для прокси-услуг и мошенничества с SEO.

Эксперты Trend Micro выделяют два режима работы BadIIS: манипуляция SEO и внедрение зловредного JavaScript-кода в веб-страницы. Вредоносное ПО изменяет HTTP-заголовки ответов сервера, проверяя значения «User-Agent» и «Referer». Если в заголовках содержатся ссылки на поисковые системы или определённые ключевые слова, BadIIS перенаправляет пользователя на нелегальный игровой сайт вместо легитимного ресурса.

Помимо атак на IIS-серверы, исследователи Silent Push выявили ещё одну схему — так называемое «отмывание инфраструктуры» (Infrastructure Laundering). В рамках этой методики преступники арендуют IP-адреса у крупных облачных провайдеров, таких как Amazon Web Services (AWS) и Microsoft Azure, и используют их для размещения мошеннических сайтов.

За этой схемой стоит китайская сеть Funnull, арендовавшая более 1200 IP-адресов у AWS и около 200 у Microsoft. Вся вредоносная инфраструктура, получившая название Triad Nexus, задействована в фишинговых кампаниях, мошенничестве с романтическими схемами и отмывании денег через фальшивые азартные сайты.

Несмотря на блокировку некоторых IP-адресов, Funnull продолжает регулярно получать новые, вероятно, используя поддельные или украденные учётные записи. Исследователи подчёркивают, что злоумышленники адаптируются к контрмерам и находят новые способы обхода защитных механизмов.

Темы:ПреступленияTrend MicroSEOАзия
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...