Η νέα κακόβουλη συμμορία DragonRank Black Hat φαίνεται να χειραγωγεί κατατάξεις στις μηχανές αναζήτησης (SEO) στοχεύοντας την Ασία και την Ευρώπη.
Αυτή η κακόβουλη συμμορία, έχει αφήσει το αποτύπωμά της σε χώρες όπως η Ταϊλάνδη, η Ινδία, η Κορέα, το Βέλγιο, η Ολλανδία και η Κίνα.
“Το DragonRank εκμεταλλεύεται τις υπηρεσίες web εφαρμογών στόχων για να αναπτύξει ένα web shell και το χρησιμοποιεί για τη συλλογή πληροφοριών συστήματος και την εκκίνηση κακόβουλου λογισμικού όπως το PlugX και το BadIIS, εκτελώντας διάφορα βοηθητικά προγράμματα συλλογής credentials”, δήλωσε ο ερευνητής ασφαλείας Joey Chen.
Διαβάστε ακόμη: Η επανεμφάνιση του FAREIT malware αποτελεί κρίσιμη απειλή
Οι επιθέσεις που στόχευαν την ανάπτυξη του κακόβουλου λογισμικού BadIIS, το οποίο καταγράφηκε για πρώτη φορά από την ESET τον Αύγουστο του 2021, είχαν ως αποτέλεσμα την παραβίαση 35 servers σε Υπηρεσίες Πληροφοριών Διαδικτύου (IIS).
Έχει σχεδιαστεί ειδικά για να διευκολύνει τη χρήση λογισμικού μεσολάβησης και την απάτη SEO, μετατρέποντας έναν παραβιασμένο IIS server σε κόμβο αναμετάδοσης κακόβουλων επικοινωνιών μεταξύ των πελατών του, δηλαδή άλλων παραγόντων απειλής, και των θυμάτων τους.
Επιπλέον, μπορεί να τροποποιήσει το περιεχόμενο που προβάλλεται στις μηχανές αναζήτησης (SEO), ώστε να παραπλανήσει τους αλγόριθμους και να ενισχύσει την κατάταξη ιστότοπων που ενδιαφέρουν τους hackers.
«Μία από τις πιο εντυπωσιακές πτυχές της έρευνας είναι η ευελιξία του κακόβουλου λογισμικού IIS και η ανίχνευση εγκληματικών σχημάτων απάτης SEO, όπου το κακόβουλο λογισμικό το καταχράται, με σκοπό να χειριστεί τους αλγόριθμους των μηχανών αναζήτησης και να βελτιώσει τη φήμη τρίτων ιστοτόπων», δήλωσε η ερευνήτρια Zuzana Hromcova στο Hacker News εκείνη την εποχή.
Το πιο πρόσφατο σύνολο επιθέσεων που εντοπίστηκε από την Cisco Talos καλύπτει ένα ευρύ φάσμα βιομηχανικών τομέων, περιλαμβάνοντας κοσμήματα, μέσα ενημέρωσης, ερευνητικές υπηρεσίες, υγειονομική περίθαλψη, παραγωγή βίντεο και τηλεόρασης, κατασκευές, μεταφορές, θρησκευτικούς και πνευματικούς οργανισμούς, υπηρεσίες πληροφορικής, διεθνείς υποθέσεις, γεωργία, αθλητισμό μέχρι και to φενγκ σούι.
Δείτε περισσότερα: Είστε προγραμματιστής; Προσοχή! Η hacking συμμορία Lazarus χρησιμοποιεί fake coding tests για διανομή malware
Οι αλυσίδες επιθέσεων ξεκινούν με την εκμετάλλευση γνωστών ευπαθειών σε εφαρμογές ιστού, όπως το phpMyAdmin και το WordPress, για την εισαγωγή του ανοιχτού κώδικα ASPXspy. Αυτό το εργαλείο λειτουργεί ως αγωγός για την προσθήκη συμπληρωματικών εργαλείων στο περιβάλλον των στόχων.
Ο κύριος στόχος της εκστρατείας είναι να παραβιάσει τους IIS servers που φιλοξενούν εταιρικούς ιστότοπους, για να εισάγουν το κακόβουλο λογισμικό BadIIS. Σκοπεύουν να τους χρησιμοποιήσουν ως σημεία εκκίνησης για απάτες, αξιοποιώντας λέξεις-κλειδιά που σχετίζονται με το πορνό και το σεξ.
Μια άλλη σημαντική πτυχή του κακόβουλου λογισμικού είναι η ικανότητά του να μεταμφιέζεται ως ανιχνευτής μηχανής αναζήτησης Google στη συμβολοσειρά User-Agent όταν αναμεταδίδει τη σύνδεση στον server εντολών και ελέγχου (C2), επιτρέποντάς του να παρακάμψει ορισμένα μέτρα ασφαλείας ιστότοπου.
«Η απειλή εμπλέκεται σε χειραγώγηση SEO, μετατρέποτας ή εκμεταλλεύοντας τους αλγόριθμους μηχανών αναζήτησης για να βελτιώσει την κατάταξη ενός ιστότοπου στα αποτελέσματα αναζήτησης», εξήγησε ο Chen. «Διενεργούν αυτές τις επιθέσεις με σκοπό να κατευθύνουν την επισκεψιμότητα σε κακόβουλους ιστότοπους, να αυξήσουν την ορατότητα του κακόβουλου περιεχομένου ή να διαταράξουν τους ανταγωνιστές».
Ένας σημαντικός τρόπος με τον οποίο το DragonRank ξεχωρίζει από άλλες Black Hat ομάδες εγκλήματος στον κυβερνοχώρο είναι η προσπάθειά του να παραβιάσει επιπλέον servers εντός του δικτύου του στόχου και να διατηρήσει τον έλεγχό τους. Αυτό επιτυγχάνεται μέσω του PlugX, ενός backdoor που χρησιμοποιείται ευρέως από κινέζους φορείς απειλών, καθώς και μέσω διαφόρων εργαλείων συλλογής credentials όπως το Mimikatz, το PrintNotifyPotato, το BadPotato και το GodPotato.
Παρόλο που το κακόβουλο λογισμικό PlugX, που χρησιμοποιείται σε επιθέσεις, βασίζεται σε τεχνικές πλευρικής φόρτωσης (side-loading) DLL, το DLL που είναι υπεύθυνο για την εκκίνηση του κρυπτογραφημένου ωφέλιμου φορτίου (payload) εκμεταλλεύεται τον μηχανισμό χειρισμού δομημένης εξαίρεσης των Windows (SEH). Αυτός ο μηχανισμός βοηθά ώστε το νόμιμο αρχείο (δηλαδή το ευαίσθητο σε πλευρική φόρτωση DLL) να φορτώσει το PlugX χωρίς να γίνει αντιληπτό.
Τα στοιχεία που ανακάλυψε η Cisco Talos δείχνουν ότι η κακόβουλη συμμορία διατηρεί παρουσία στο Telegram με το ψευδώνυμο “tttseo” και χρησιμοποιεί την εφαρμογή άμεσων μηνυμάτων QQ για να διευκολύνει παράνομες επιχειρηματικές συναλλαγές με πελάτες.
Διαβάστε επίσης: Η Mustang Panda χρησιμοποιεί τα PUBLOAD και HIUPAN malware σε επιθέσεις
«Αυτοί οι hackers προσφέρουν επίσης υποτιθέμενη εξυπηρέτηση πελατών υψηλής ποιότητας, προσαρμόζοντας στρατηγικές προώθησης ώστε να καλύπτουν καλύτερα τις ανάγκες των πελατών τους», δήλωσε ο Chen. «Οι πελάτες έχουν τη δυνατότητα να υποβάλουν λέξεις-κλειδιά και ιστοσελίδες που επιθυμούν να προωθήσουν, και η DragonRank αναπτύσσει στρατηγικές που ανταποκρίνονται σε αυτές τις προδιαγραφές. Επιπλέον, η συμμορία είναι εξειδικευμένη στη στόχευση προωθήσεων σε συγκεκριμένες χώρες και γλώσσες, εξασφαλίζοντας μια εξατομικευμένη και ολοκληρωμένη προσέγγιση στο διαδικτυακό μάρκετινγκ».
Πηγή: thehackernews
 στοχεύοντας την Ασία και την Ευρώπη.){kind=link}