DragonRank Black Hat SEO-campagne gericht op IIS-servers in Azië en Europa

Een ‘vereenvoudigd Chinees sprekende acteur’ wordt in verband gebracht met een nieuwe campagne die gericht is op meerdere landen in Azië en Europa met als einddoel het manipuleren van de zoekmachine-optimalisatie (SEO).

De black hat SEO-cluster heeft de codenaam gekregen DrakenRang door Cisco Talos, met slachtoffersporen verspreid over Thailand, India, Korea, België, Nederland en China.

“DragonRank maakt gebruik van de webapplicatieservices van doelwitten om een ​​webshell te implementeren en gebruikt deze om systeemgegevens te verzamelen en malware te starten, zoals PlugX en BadIIS, waarbij verschillende hulpprogramma’s voor het verzamelen van inloggegevens worden uitgevoerd”, aldus beveiligingsonderzoeker Joey Chen.

De aanvallen hebben geleid tot inbraak op 35 Internet Information Services (IIS)-servers met als einddoel de implementatie van de BadIIS-malware, die voor het eerst door ESET werd gedocumenteerd in augustus 2021.

Het is specifiek ontworpen om proxyware- en SEO-fraude te vergemakkelijken door de gecompromitteerde IIS-server om te zetten in een doorgangspunt voor kwaadaardige communicatie tussen zijn klanten (dat wil zeggen, andere kwaadwillende actoren) en hun slachtoffers.

Bovendien kan het de inhoud die aan zoekmachines wordt getoond, aanpassen om de algoritmen van zoekmachines te manipuleren en de ranking van andere websites die interessant zijn voor aanvallers te verbeteren.

“Een van de meest verrassende aspecten van het onderzoek is hoe veelzijdig IIS-malware is en de (detectie van) criminele SEO-fraude, waarbij malware wordt misbruikt om zoekmachine-algoritmen te manipuleren en de reputatie van websites van derden te verbeteren”, vertelde beveiligingsonderzoeker Zuzana Hromcova destijds aan The Hacker News.

De laatste reeks aanvallen die Talos onder de aandacht bracht, bestrijkt een breed spectrum aan verticale sectoren in de industrie, waaronder de juwelenindustrie, media, onderzoeksdiensten, gezondheidszorg, video- en televisieproductie, productie, transport, religieuze en spirituele organisaties, IT-diensten, internationale zaken, landbouw, sport en feng shui.

DragonRank Black Hat SEO-campagne

De aanvalsketens beginnen met het misbruiken van bekende beveiligingslekken in webapplicaties zoals phpMyAdmin en WordPress om de open-source ASPXspy web shell te verwijderen, die vervolgens fungeert als een kanaal om aanvullende tools in de omgeving van de doelwitten te introduceren.

Het hoofddoel van de campagne is om de IIS-servers waarop bedrijfswebsites worden gehost, te compromitteren en te misbruiken om de BadIIS-malware te installeren. Deze servers kunnen vervolgens worden gebruikt als springplank voor oplichtingsoperaties, waarbij gebruik wordt gemaakt van trefwoorden die verband houden met porno en seks.

Een ander belangrijk aspect van de malware is de mogelijkheid om zich voor te doen als de crawler van de Google-zoekmachine in de User-Agent-string wanneer de verbinding wordt doorgegeven aan de command-and-control (C2)-server. Zo kan de malware een aantal veiligheidsmaatregelen van de website omzeilen.

“De dreigingsactor houdt zich bezig met SEO-manipulatie door zoekmachine-algoritmen te wijzigen of te exploiteren om de ranking van een website in zoekresultaten te verbeteren,” legde Chen uit. “Ze voeren deze aanvallen uit om verkeer naar kwaadaardige sites te leiden, de zichtbaarheid van frauduleuze content te vergroten of concurrenten te verstoren door rankings kunstmatig op te blazen of te verlagen.”

Een belangrijke manier waarop DragonRank zich onderscheidt van andere black hat SEO-cybercriminele groepen, is de manier waarop ze proberen extra servers binnen het netwerk van het doelwit te hacken en de controle daarover te behouden met behulp van PlugX, een backdoor die veel wordt gebruikt door Chinese cybercriminelen, en verschillende programma’s voor het verzamelen van inloggegevens, zoals Mimikatz, PrintNotifyPotato, BadPotato en GodPotato.

Hoewel de PlugX-malware die bij de aanvallen wordt gebruikt, afhankelijk is van DLL-sideloadingtechnieken, gebruikt de loader-DLL die verantwoordelijk is voor het starten van de gecodeerde payload het Windows Structured Exception Handling (SEH)-mechanisme om ervoor te zorgen dat het legitieme bestand (dat wil zeggen het binaire bestand dat vatbaar is voor DLL-sideloading) de PlugX kan laden zonder dat er alarmen afgaan.

Bewijsmateriaal dat Talos heeft gevonden, wijst erop dat de aanvaller op Telegram actief is onder de naam ’tttseo’ en via de QQ-app voor directe berichten om illegale zakelijke transacties met betalende klanten te faciliteren.

“Deze tegenstanders bieden ogenschijnlijk ook een kwalitatief goede klantenservice en stemmen hun promotieplannen af ​​op de behoeften van hun klanten”, voegt Chen toe.

“Klanten kunnen de trefwoorden en websites die ze willen promoten opgeven en DragonRank ontwikkelt een strategie die past bij deze specificaties. De groep is ook gespecialiseerd in het targeten van promoties op specifieke landen en talen, wat zorgt voor een op maat gemaakte en uitgebreide aanpak van online marketing.”

Thijs Van der Does