Zespół Cisco Talos wykrył działalność grupy hakerów DragonRank, która wykorzystuje zaawansowane techniki malware oraz narzędzia z zakresu black hat SEO, w celu manipulowania wynikami wyszukiwarek internetowych.
DragonRank wykorzystuje usługi aplikacji internetowych ofiar do wdrożenia powłoki systemowej, a następnie używa jej do zbierania informacji o systemie i uruchamiania złośliwego oprogramowania, takiego jak PlugX i BadIIS, uruchamiając różne narzędzia do zbierania danych uwierzytelniających. Ich PlugX nie tylko korzysta ze znanych technik bocznego ładowania (DLL), ale również wykorzystuje protokół SEH, który zapewnia, że prawidłowy plik może załadować oprogramowanie bez wzbudzania podejrzeń.
Badacze z Cisco Talos potwierdzili, że ponad 35 serwerów IIS zostało naruszonych, w wyniku czego złośliwe oprogramowanie zostało zaimplementowane w różnych regionach geograficznych, w tym w Tajlandii, Indiach, Korei, Belgii, Holandii i Chinach.
Nowy gracz na rynku
Jednym z głównych elementów działań grupy jest black hat SEO, czyli działania optymalizujące stronę internetową z wykorzystaniem nieuczciwych praktyk. DragonRank fałszują algorytmy wyszukiwarek, poprzez manipulowanie słowami kluczowymi, w celu zwiększenia widoczności stron. Dzięki temu kierują ruch użytkownika na strony przez nich zainfekowane, które często zawierają szkodliwe treści, jak np. pornografię.
Według Cisco Talos, DragonRank jest stosunkowo nowy w branży black hat SEO, wcześniej specjalizując się w ukierunkowanych atakach oraz testach penetracyjnych. W tej kampanii przestępcy naruszają serwery poprzez wykorzystywanie luk w aplikacjach internetowych, takich jak phpMyAdmin czy WordPress. Kiedy uzyskują dostęp do serwera, wdrażają powłokę internetową, co umożliwia im kontrolę nad systemem i dalsze eskalacje działań.
Metody działania
DragonRank wyróżnia się na tle innych grup hakerskich swoją strategią. Tradycyjnie grupy black hat SEO starają się przejmować jak najwięcej serwerów w celu manipulowania wynikami wyszukiwarek, natomiast DragonRank kładzie nacisk na tzw. ruch boczny i eskalację uprawnień w sieciach docelowych. Ich głównym celem jest infiltracja dodatkowych serwerów w sieci i utrzymanie nad nimi kontroli.
Grupa DragonRank łączy działania SEO z wykorzystaniem złośliwego oprogramowania. W kampanii używa dwóch głównych narzędzi: PlugX i BadIIS. PlugX to złośliwe oprogramowanie typu backdoor, które pozwala hakerom na zdalny dostęp i kontrolę nad zainfekowanym systemem. Poza tym używają technik DLL, aby jak najlepiej zakamuflować swoje działania i zminimalizować ryzyko wykrycia. Wykorzystanie PlugX umożliwia hakerom manipulowanie systemem i dalszą eskalację działań, takich jak zbieranie danych systemowych i poświadczeń przy użyciu narzędzi takich jak Mimikatz.
Cisco Talos namierzyło stronę internetową oraz konta do komunikowania się, dzięki czemu udało się ustalić, że hakerzy posługują się językiem chińskim. Co więcej, według informacji podanych na Telegramie, istnieje duże prawdopodobieństwo, że grupa zlokalizowana jest w Tajlandii, a język chiński, którym się posługują może wskazywać na ich powiązania z chińskimi grupami cyberprzestępczymi. Może o tym świadczyć fakt, że złośliwe oprogramowanie, które tak często wykorzystują w swojej działalności jest powszechnie stosowane przez chińskie grupy hakerskie.
Z kolei złośliwe oprogramowanie BadIIS służy do manipulowania robotami wyszukiwarek i hiperłączami, co pozwala DragonRank na oszukiwanie wyników wyszukiwania i sztuczne podwyższanie lub obniżanie rankingów stron. Zainfekowane serwery IIS są używane jako serwery proxy, które umożliwiają komunikację między zainfekowanymi hostami a serwerami dowodzenia i kontroli (C2). Dzięki temu DragonRank może efektywnie manipulować wynikami wyszukiwarek, promując treści swoich klientów lub niszcząc reputację konkurencyjnych stron.
(Nie)groźny marketing
DragonRank prowadzi również działalność komercyjną oferując usługi white hat SEO. Grupa promuje swoje usługi na platformach takich jak Telegram i QQ, co pozwala klientom na kontakt i przeprowadzanie nielegalnych transakcji. Oferują pozornie wysokiej jakości spersonalizowaną obsługę klienta, ponieważ klienci mogą dostarczać słowa kluczowe i strony, które chcą promować, a DragonRank opracowuje strategię dostosowaną do ich potrzeb. Grupa wyróżnia się personalizowanym podejściem, oferując szeroki wachlarz usług z zakresu zarówno black hat jak i white hat SEO, oferując usługi marketingowe dostosowane do konkretnych rynków.
Grupa DragonRank łączy złośliwe oprogramowanie z nielegalnymi działaniami marketingowymi, co czyni ich działalność szczególnie groźną. Ich działania mają na celu zarówno promowanie fałszywych treści, jak i prowadzenie szkodliwych działań SEO, co stanowi poważne zagrożenie dla firm i użytkowników Internetu.