一个 “简体中文演员 ”已经与一个针对亚洲和欧洲多个国家的新活动相关联,该活动的最终目标是执行搜索引擎优化 (SEO) 排名操纵。
黑帽 SEO 集群被 Cisco Talos 代号为 DragonRank,受害者足迹分散在泰国、印度、韩国、比利时、荷兰和中国。
“DragonRank 利用目标的 Web 应用程序服务来部署 Web shell,并利用它来收集系统信息并启动 PlugX 和 BadIIS 等恶意软件,运行各种凭据收集实用程序,”安全研究员 Joey Chen 说。
这些攻击导致 35 台 Internet 信息服务 (IIS) 服务器遭到入侵,最终目标是部署 BadIIS 恶意软件,ESET 于 2021 年 8 月首次记录了该恶意软件。
它专门设计用于通过将受感染的 IIS 服务器变成其客户(即其他威胁行为者)与其受害者之间恶意通信的中继点来促进代理软件和 SEO 欺诈。
最重要的是,它可以修改提供给搜索引擎的内容,以操纵搜索引擎算法并提高攻击者感兴趣的其他网站的排名。
“调查最令人惊讶的方面之一是 IIS 恶意软件的多功能性,以及 [检测] SEO 欺诈犯罪计划,其中恶意软件被滥用于操纵搜索引擎算法并帮助提升第三方网站的声誉,”安全研究员 Zuzana Hromcova 当时告诉 The Hacker News。
Talos 强调的最新一组攻击涵盖了广泛的垂直行业,包括珠宝、媒体、研究服务、医疗保健、视频和电视制作、制造、运输、宗教和精神组织、IT 服务、国际事务、农业、体育和风水。
攻击链首先利用 phpMyAdmin 和 WordPress 等 Web 应用程序中的已知安全漏洞来放置开源 ASPXspy Web shell,然后充当将补充工具引入目标环境的渠道。
该活动的主要目标是破坏托管企业网站的 IIS 服务器,滥用它们来植入 BadIIS 恶意软件,并通过利用与色情和性相关的关键字有效地将它们重新用作诈骗操作的启动板。
该恶意软件的另一个重要方面是,当它将连接中继到命令和控制 (C2) 服务器时,它能够在其 User-Agent 字符串中伪装成 Google 搜索引擎爬虫,从而允许它绕过某些网站安全措施。
“威胁行为者通过更改或利用搜索引擎算法来提高网站在搜索结果中的排名,从而进行 SEO 操纵,”Chen 解释说。“他们进行这些攻击是为了将流量吸引到恶意网站,提高欺诈内容的知名度,或通过人为夸大或缩小排名来扰乱竞争对手。”
DragonRank 与其他黑帽 SEO 网络犯罪团伙区别开来的一个重要之处在于,它试图使用 PlugX(中国威胁行为者广泛共享的后门)和各种凭据收集程序(如 Mimikatz、PrintNotifyPotato、BadPotato 和 GodPotato)来破坏目标网络中的其他服务器并保持对它们的控制。
尽管攻击中使用的 PlugX 恶意软件依赖于 DLL 旁加载技术,但负责启动加密有效负载的加载程序 DLL 使用 Windows 结构化异常处理 (SEH) 机制,以试图确保合法文件(即易受 DLL 旁加载影响的二进制文件)可以加载 PlugX,而不会触发任何警报。
Talos 出土的证据表明,威胁行为者以“tttseo”和 QQ 即时消息应用程序在 Telegram 上保持存在,以促进与付费客户的非法商业交易。
“这些对手还提供看似优质的客户服务,量身定制促销计划以最好地满足客户的需求,”Chen 补充道。
“客户可以提交他们希望推广的关键字和网站,DragonRank 会制定适合这些规范的策略。该集团还专门针对特定国家和语言进行促销活动,确保提供定制和全面的在线营销方法。