Ein „vereinfacht Chinesisch sprechender Akteur“ wurde mit einer neuen Kampagne in Verbindung gebracht, die auf mehrere Länder in Asien und Europa abzielte, mit dem Ziel, Suchmaschinenoptimierung (SEO) und Rangmanipulationen durchzuführen.
Der Black-Hat-SEO-Cluster wurde von Cisco Talos mit dem Codenamen DragonRank versehen, mit Spuren von Opfern in Thailand, Indien, Korea, Belgien, den Niederlanden und China.
„DragonRank nutzt die Webanwendungsdienste der Opfer aus, um eine Webshell zu installieren, und nutzt diese, um Systeminformationen zu sammeln und Malware wie PlugX und BadIIS zu starten, die verschiedene Tools zum Abgreifen von Anmeldedaten ausführen“, sagte Sicherheitsforscher Joey Chen.
Die Angriffe haben zur Kompromittierung von 35 Internet Information Services (IIS)-Servern geführt, mit dem Endziel, die BadIIS-Malware zu installieren, die erstmals im August 2021 von ESET dokumentiert wurde.
Sie wurde speziell entwickelt, um Proxy-Ware und SEO-Betrug zu ermöglichen, indem sie den kompromittierten IIS-Server in einen Relaispunkt für bösartige Kommunikation zwischen seinen Kunden (d. h. anderen Bedrohungsakteuren) und ihren Opfern verwandelt.
Darüber hinaus kann sie den Inhalt, der Suchmaschinen bereitgestellt wird, ändern, um Suchmaschinenalgorithmen zu manipulieren und das Ranking anderer Websites zu verbessern, an denen die Angreifer interessiert sind.
„Einer der überraschendsten Aspekte der Untersuchung ist die Vielseitigkeit der IIS-Malware und die [Entdeckung] des kriminellen Systems des SEO-Betrugs, bei dem Malware missbraucht wird, um Suchmaschinenalgorithmen zu manipulieren und den Ruf von Websites Dritter zu verbessern“, sagte die Sicherheitsforscherin Zuzana Hromcova damals gegenüber The Hacker News.
Die jüngste von Talos beleuchtete Angriffswelle erstreckt sich über ein breites Spektrum von Branchen, darunter Schmuck, Medien, Forschungsdienste, Gesundheitswesen, Video- und Fernsehproduktion, Fertigung, Transport, religiöse und spirituelle Organisationen, IT-Dienstleistungen, internationale Angelegenheiten, Landwirtschaft, Sport und Feng Shui.
Die Angriffsketten beginnen mit der Ausnutzung bekannter Sicherheitslücken in Webanwendungen wie phpMyAdmin und WordPress, um die Open-Source-Webshell ASPXspy einzuschleusen, die dann als Kanal dient, um zusätzliche Tools in die Umgebung der Opfer einzuschleusen.
Das Hauptziel der Kampagne besteht darin, die IIS-Server zu kompromittieren, auf denen Unternehmenswebsites gehostet werden, sie zu missbrauchen, um die BadIIS-Malware zu implantieren und sie effektiv als Ausgangspunkt für Betrugsoperationen umzufunktionieren, indem Schlüsselwörter im Zusammenhang mit Pornografie und Sex verwendet werden.
Ein weiterer bedeutender Aspekt der Malware ist ihre Fähigkeit, sich in ihrem User-Agent-String als Google-Suchmaschinen-Crawler auszugeben, wenn sie die Verbindung zum Command-and-Control (C2)-Server weiterleitet, wodurch sie einige Sicherheitsmaßnahmen von Websites umgehen kann.
„Der Bedrohungsakteur betreibt SEO-Manipulation, indem er Suchmaschinenalgorithmen verändert oder ausnutzt, um das Ranking einer Website in den Suchergebnissen zu verbessern“, erklärte Chen. „Sie führen diese Angriffe durch, um Traffic auf bösartige Websites zu lenken, die Sichtbarkeit betrügerischer Inhalte zu erhöhen oder Konkurrenten zu schädigen, indem sie Rankings künstlich auf- oder abwerten.“
Ein wichtiger Punkt, der DragonRank von anderen Cybercrime-Gruppen für Black-Hat-SEO unterscheidet, ist die Art und Weise, wie sie versucht, in zusätzliche Server innerhalb des Netzwerks des Opfers einzudringen und die Kontrolle über diese zu behalten, indem sie PlugX, eine Backdoor, die von chinesischen Bedrohungsakteuren häufig genutzt wird, und verschiedene Programme zum Abgreifen von Anmeldedaten wie Mimikatz, PrintNotifyPotato, BadPotato und GodPotato verwendet.
Obwohl die in den Angriffen verwendete PlugX-Malware auf DLL-Sideloading-Techniken beruht, nutzt die Loader-DLL, die für das Starten der verschlüsselten Nutzlast verantwortlich ist, den Windows Structured Exception Handling (SEH)-Mechanismus, um sicherzustellen, dass die legitime Datei (d. h. die für DLL-Sideloading anfällige Binärdatei) die PlugX laden kann, ohne Alarm auszulösen.
Die von Talos aufgedeckten Beweise deuten darauf hin, dass der Bedrohungsakteur auf Telegram unter dem Namen „tttseo“ und in der Instant-Messaging-Anwendung QQ präsent ist, um illegale Geschäftsabschlüsse mit zahlenden Kunden zu ermöglichen.
„Diese Angreifer bieten auch einen scheinbar hochwertigen Kundenservice an und passen Werbepläne an die Bedürfnisse ihrer Kunden an“, fügte Chen hinzu.
„Kunden können die Keywords und Websites, die sie bewerben möchten, einreichen, und DragonRank entwickelt eine auf diese Spezifikationen abgestimmte Strategie. Die Gruppe ist außerdem darauf spezialisiert, Werbungen auf bestimmte Länder und Sprachen auszurichten, um einen maßgeschneiderten und umfassenden Ansatz für Online-Marketing zu gewährleisten.“