Μια νέα εκστρατεία SEO manipulation, η οποία στοχεύει σε IIS servers (Internet Information Services) σε διάφορες χώρες της Ασίας και της Ευρώπης εντοπίστηκε από ομάδα ασφαλείας της Cisco Talos.
Αυτή η κακόβουλη δραστηριότητα έχει κωδικοποιηθεί ως DragonRank και αποδίδεται σε έναν “ομιλητή απλοποιημένων κινέζικων”, με στόχο τη χειραγώγηση των αποτελεσμάτων των μηχανών αναζήτησης.
Η εκστρατεία DragonRank έχει στόχο χώρες όπως η Ταϊλάνδη, η Ινδία, η Κορέα, το Βέλγιο, η Ολλανδία και η Κίνα. Οι επιτιθέμενοι εκμεταλλεύονται ευπάθειες σε web εφαρμογές για να αναπτύξουν web shell και να συλλέξουν πληροφορίες συστήματος, καθώς και να εξαπολύσουν κακόβουλο λογισμικό όπως τα PlugX και BadIIS, τα οποία χρησιμοποιούνται για την κλοπή διαπιστευτηρίων.
Η εκστρατεία έχει οδηγήσει σε έλεγχο 35 IIS servers, με σκοπό την ανάπτυξη του κακόβουλου λογισμικού BadIIS. Το BadIIS αναπτύχθηκε αρχικά για να μετατρέπει τους IIS servers σε ενδιάμεσους σταθμούς για κακόβουλες επικοινωνίες, εξυπηρετώντας άλλους κυβερνοεγκληματίες και πελάτες που θέλουν να χειραγωγήσουν το SEO των ιστοσελίδων τους.
Πώς λειτουργεί το DragonRank
Οι επιθέσεις ξεκινούν με την εκμετάλλευση γνωστών ευπαθειών σε δημοφιλείς πλατφόρμες όπως το phpMyAdmin και το WordPress, όπου εισάγεται το ανοιχτού κώδικα web shell ASPXspy. Μέσω αυτού, οι επιτιθέμενοι εισάγουν πρόσθετα εργαλεία στο σύστημα του στόχου, όπως το BadIIS, το οποίο χρησιμοποιείται για την κακόβουλη χειραγώγηση των μηχανών αναζήτησης, προωθώντας ιστότοπους με πορνογραφικό ή απατηλό περιεχόμενο.
Ένα από τα πιο εντυπωσιακά σημεία της επίθεσης είναι η δυνατότητα του κακόβουλου λογισμικού να μιμείται το Google search engine crawler για να παρακάμπτει τα μέτρα ασφαλείας των ιστοσελίδων, κάτι που του επιτρέπει να επικοινωνεί με τον command-and-control (C2) server χωρίς να ανιχνεύεται εύκολα.
Οι επιθέσεις SEO manipulation που διεξάγονται από την ομάδα DragonRank στοχεύουν στη χειραγώγηση των αλγορίθμων των μηχανών αναζήτησης για την αύξηση της ορατότητας κακόβουλων ιστότοπων, είτε για τη διάδοση απατηλού περιεχομένου είτε για να μειώσουν την κατάταξη ανταγωνιστικών ιστοσελίδων.
Τεχνικές και εργαλεία
Η εκστρατεία DragonRank ξεχωρίζει από άλλες παρόμοιες ομάδες cybercrime χάρη στην επιθετική τακτική της να παραβιάζει επιπλέον servers στο δίκτυο του θύματος, χρησιμοποιώντας το κακόβουλο λογισμικό PlugX. Το PlugX αξιοποιεί τεχνικές DLL side-loading, μέσω των οποίων ένα νόμιμο αρχείο γίνεται φορτωτής για το κακόβουλο λογισμικό, αποφεύγοντας την ανίχνευση. Οι επιτιθέμενοι χρησιμοποιούν επίσης εργαλεία όπως τα Mimikatz, PrintNotifyPotato, BadPotato και GodPotato για τη συλλογή διαπιστευτηρίων και τη διατήρηση πρόσβασης σε παραβιασμένα συστήματα.
Στόχευση και πελατεία
Η κακόβουλη δραστηριότητα της DragonRank καλύπτει ένα ευρύ φάσμα τομέων, όπως τα κοσμήματα, τα μέσα μαζικής ενημέρωσης, οι ερευνητικές υπηρεσίες, η υγειονομική περίθαλψη, η παραγωγή βίντεο και τηλεόρασης, οι μεταφορές, οι θρησκευτικές οργανώσεις, οι διεθνείς υποθέσεις, η γεωργία, και πολλά άλλα.
Οι επιτιθέμενοι προσφέρουν “υπηρεσίες” προσαρμοσμένες στις ανάγκες των πελατών τους, με επικοινωνία μέσω των εφαρμογών Telegram και QQ, παρέχοντας στρατηγικές SEO για τη βελτίωση της κατάταξης ιστοσελίδων. Προσφέρουν ακόμα και “υποστήριξη πελατών” για την ανάπτυξη προσαρμοσμένων σχεδίων προώθησης, ανάλογα με τις λέξεις-κλειδιά και τους ιστότοπους που θέλουν να προωθήσουν οι πελάτες τους.
Ολόκληρη η παρουσίαση του θέματος είναι διαθέσιμη εδώ.
Συμπέρασμα
Η εκστρατεία DragonRank αποτελεί ένα νέο και ιδιαίτερα επικίνδυνο παράδειγμα κακόβουλης εκμετάλλευσης του SEO, με απώτερο σκοπό την προώθηση κακόβουλου ή απατηλού περιεχομένου σε μηχανές αναζήτησης. Οι κυβερνοεγκληματίες συνεχίζουν να χρησιμοποιούν εξελιγμένες τεχνικές για να παρακάμπτουν μέτρα ασφαλείας και να εκμεταλλεύονται αδυναμίες σε εταιρικά δίκτυα, ενώ η ευρεία διασπορά των επιθέσεων σε διάφορους τομείς καθιστά την εκστρατεία αυτή ιδιαίτερα ανησυχητική για την ασφάλεια των πληροφοριακών συστημάτων.