10/02/25
Основной целью атаки является перенаправление пользователей на нелегальные азартные сайты, что указывает на финансовую мотивацию преступников, пишет Securitylab.
Эксперты Trend Micro обнаружили, что атака затрагивает IIS-серверы в Индии, Таиланде, Вьетнаме, Филиппинах, Сингапуре, Тайване, Южной Корее, Японии и даже в Бразилии. Среди пострадавших — государственные учреждения, университеты, технологические компании и телекоммуникационные операторы.
Взломанные серверы используются для изменения контента, включая редиректы на сайты с азартными играми, а также перенаправление пользователей на ресурсы с вредоносным ПО и страницами для кражи учётных данных.
Ответственность за атаку приписывается кибергруппировке DragonRank, говорящей на китайском языке. В прошлом году специалисты Cisco Talos уже зафиксировали применение этой группой вредоносного ПО BadIIS для манипулирования SEO. В свою очередь, ESET ранее связала DragonRank с другой известной группой — Group 9, которая использовала взломанные IIS-серверы для прокси-услуг и мошенничества с SEO.
Эксперты Trend Micro выделяют два режима работы BadIIS: манипуляция SEO и внедрение зловредного JavaScript-кода в веб-страницы. Вредоносное ПО изменяет HTTP-заголовки ответов сервера, проверяя значения «User-Agent» и «Referer». Если в заголовках содержатся ссылки на поисковые системы или определённые ключевые слова, BadIIS перенаправляет пользователя на нелегальный игровой сайт вместо легитимного ресурса.
Помимо атак на IIS-серверы, исследователи Silent Push выявили ещё одну схему — так называемое «отмывание инфраструктуры» (Infrastructure Laundering). В рамках этой методики преступники арендуют IP-адреса у крупных облачных провайдеров, таких как Amazon Web Services (AWS) и Microsoft Azure, и используют их для размещения мошеннических сайтов.
За этой схемой стоит китайская сеть Funnull, арендовавшая более 1200 IP-адресов у AWS и около 200 у Microsoft. Вся вредоносная инфраструктура, получившая название Triad Nexus, задействована в фишинговых кампаниях, мошенничестве с романтическими схемами и отмывании денег через фальшивые азартные сайты.
Несмотря на блокировку некоторых IP-адресов, Funnull продолжает регулярно получать новые, вероятно, используя поддельные или украденные учётные записи. Исследователи подчёркивают, что злоумышленники адаптируются к контрмерам и находят новые способы обхода защитных механизмов.
