Zespół Cisco Talos wykrył działalność grupy hakerów DragonRank, która wykorzystuje zaawansowane techniki malware oraz narzędzia z zakresu black hat SEO, w celu manipulowania wynikami wyszukiwarek internetowych.
DragonRank wykorzystuje usługi aplikacji internetowych ofiar do wdrożenia powłoki systemowej, a następnie używa jej do zbierania informacji o systemie i uruchamiania złośliwego oprogramowania, takiego jak PlugX i BadIIS, uruchamiając różne narzędzia do zbierania danych uwierzytelniających.
Badacze z Cisco Talos potwierdzili, że ponad 35 serwerów IIS zostało naruszonych, w wyniku czego złośliwe oprogramowanie zostało zaimplementowane w różnych regionach geograficznych, w tym w Tajlandii, Indiach, Korei, Belgii, Holandii i Chinach.
Jednym z głównych elementów działań grupy jest black hat SEO, czyli działania optymalizujące stronę internetową z wykorzystaniem nieuczciwych praktyk. DragonRank fałszują algorytmy wyszukiwarek, poprzez manipulowanie słowami kluczowymi, w celu zwiększenia widoczności stron. Dzięki temu kierują ruch użytkownika na strony przez nich zainfekowane, które często zawierają szkodliwe treści, jak np. pornografię.
Według Cisco Talos, DragonRank jest stosunkowo nowy w branży black hat SEO, wcześniej specjalizując się w ukierunkowanych atakach oraz testach penetracyjnych. W tej kampanii przestępcy naruszają serwery poprzez wykorzystywanie luk w aplikacjach internetowych, takich jak phpMyAdmin czy WordPress. Kiedy uzyskują dostęp do serwera, wdrażają powłokę internetową, co umożliwia im kontrolę nad systemem i dalsze eskalacje działań.
DragonRank wyróżnia się na tle innych grup hakerskich swoją strategią. Tradycyjnie grupy black hat SEO starają się przejmować jak najwięcej serwerów w celu manipulowania wynikami wyszukiwarek, natomiast DragonRank kładzie nacisk na tzw. ruch boczny i eskalację uprawnień w sieciach docelowych. Ich głównym celem jest infiltracja dodatkowych serwerów w sieci i utrzymanie nad nimi kontroli.
Cisco Talos namierzyło stronę internetową oraz konta do komunikowania się, dzięki czemu udało się ustalić, że hakerzy posługują się językiem chińskim. Według informacji podanych na Telegramie, istnieje duże prawdopodobieństwo, że grupa zlokalizowana jest w Tajlandii, a język chiński, którym się posługują może wskazywać na ich powiązania z chińskimi grupami cyberprzestępczymi.
Złośliwe oprogramowanie BadIIS służy do manipulowania robotami wyszukiwarek i hiperłączami, co pozwala DragonRank na oszukiwanie wyników wyszukiwania i sztuczne podwyższanie lub obniżanie rankingów stron. Zainfekowane serwery IIS są używane jako serwery proxy, które umożliwiają komunikację między zainfekowanymi hostami a serwerami dowodzenia i kontroli (C2). Dzięki temu DragonRank może efektywnie manipulować wynikami wyszukiwarek, promując treści swoich klientów lub niszcząc reputację konkurencyjnych stron.
DragonRank prowadzi również działalność komercyjną oferując usługi white hat SEO. Grupa promuje swoje usługi na platformach, takich jak Telegram i QQ, co pozwala klientom na kontakt i przeprowadzanie nielegalnych transakcji. Oferują pozornie wysokiej jakości spersonalizowaną obsługę klienta, ponieważ klienci mogą dostarczać słowa kluczowe i strony, które chcą promować, a DragonRank opracowuje strategię dostosowaną do ich potrzeb. Grupa wyróżnia się personalizowanym podejściem, oferując szeroki wachlarz usług z zakresu zarówno black hat jak i white hat SEO, oferując usługi marketingowe dostosowane do konkretnych rynków.
Grupa DragonRank łączy złośliwe oprogramowanie z nielegalnymi działaniami marketingowymi, co czyni ich działalność szczególnie groźną. Ich działania mają na celu zarówno promowanie fałszywych treści, jak i prowadzenie szkodliwych działań SEO, co stanowi poważne zagrożenie dla firm i użytkowników Internetu.
