Seorang “aktor berbahasa Mandarin sederhana” telah dikaitkan dengan kampanye baru yang telah menargetkan beberapa negara di Asia dan Eropa dengan tujuan akhir melakukan manipulasi peringkat optimasi mesin pencari (SEO).
Cluster SEO topi hitam telah diberi nama kode Peringkat Naga oleh Cisco Talos, dengan jejak viktimologi tersebar di Thailand, India, Korea, Belgia, Belanda, dan Cina.
“DragonRank mengeksploitasi layanan aplikasi web target untuk menyebarkan web shell dan menggunakannya untuk mengumpulkan informasi sistem dan meluncurkan malware seperti PlugX dan BadIIS, menjalankan berbagai utilitas pengumpulan kredensial,” kata peneliti keamanan Joey Chen.
Serangan tersebut telah menyebabkan terganggunya 35 server Layanan Informasi Internet (IIS) dengan tujuan akhir menyebarkan malware BadIIS, yang pertama kali didokumentasikan oleh ESET pada bulan Agustus 2021.
Ini secara khusus dirancang untuk memfasilitasi proxy ware dan penipuan SEO dengan mengubah server IIS yang disusupi menjadi titik relai untuk komunikasi berbahaya antara pelanggannya (yaitu, aktor ancaman lainnya) dan korbannya.
Selain itu, ia dapat memodifikasi konten yang disajikan ke mesin pencari untuk memanipulasi algoritma mesin pencari dan meningkatkan peringkat situs web lain yang menarik minat penyerang.
“Salah satu aspek yang paling mengejutkan dari penyelidikan ini adalah betapa serbagunanya malware IIS, dan [detection of] “Skema kriminal penipuan SEO, di mana malware disalahgunakan untuk memanipulasi algoritma mesin pencari dan membantu meningkatkan reputasi situs web pihak ketiga,” kata peneliti keamanan Zuzana Hromcova kepada The Hacker News saat itu.
Serangkaian serangan terbaru yang disorot oleh Talos mencakup spektrum luas vertikal industri, termasuk perhiasan, media, layanan penelitian, perawatan kesehatan, produksi video dan televisi, manufaktur, transportasi, organisasi keagamaan dan spiritual, layanan TI, urusan internasional, pertanian, olahraga, dan feng shui.
Rangkaian serangan dimulai dengan memanfaatkan kelemahan keamanan yang diketahui dalam aplikasi web seperti phpMyAdmin dan WordPress untuk melepaskan shell web ASPXspy sumber terbuka, yang kemudian bertindak sebagai saluran untuk memperkenalkan alat tambahan ke dalam lingkungan target.
Tujuan utama kampanye ini adalah untuk membahayakan server IIS yang menghosting situs web perusahaan, menyalahgunakannya untuk menanamkan malware BadIIS dan secara efektif mengubahnya menjadi landasan peluncuran operasi penipuan dengan memanfaatkan kata kunci yang terkait dengan pornografi dan seks.
Aspek penting lain dari malware ini adalah kemampuannya untuk menyamar sebagai perayap mesin pencari Google dalam string User-Agent saat menyampaikan koneksi ke server perintah-dan-kontrol (C2), sehingga memungkinkannya untuk menerobos beberapa tindakan keamanan situs web.
“Pelaku ancaman terlibat dalam manipulasi SEO dengan mengubah atau mengeksploitasi algoritma mesin pencari untuk meningkatkan peringkat situs web dalam hasil pencarian,” jelas Chen. “Mereka melakukan serangan ini untuk mengarahkan lalu lintas ke situs berbahaya, meningkatkan visibilitas konten palsu, atau mengganggu pesaing dengan menaikkan atau menurunkan peringkat secara artifisial.”
Salah satu cara penting DragonRank membedakan dirinya dari kelompok kejahatan dunia maya SEO topi hitam lainnya adalah cara ia berupaya membobol server tambahan dalam jaringan target dan mempertahankan kendali atasnya menggunakan PlugX, pintu belakang yang banyak digunakan oleh pelaku ancaman Tiongkok, dan berbagai program pengumpulan kredensial seperti Mimikatz, PrintNotifyPotato, BadPotato, dan GodPotato.
Meskipun malware PlugX yang digunakan dalam serangan tersebut mengandalkan teknik pemuatan samping DLL, DLL pemuat yang bertanggung jawab untuk meluncurkan muatan terenkripsi menggunakan mekanisme Penanganan Pengecualian Terstruktur (SEH) Windows dalam upaya untuk memastikan bahwa file yang sah (yaitu, biner yang rentan terhadap pemuatan samping DLL) dapat memuat PlugX tanpa memicu alarm apa pun.
Bukti yang digali oleh Talos menunjukkan bahwa pelaku ancaman tersebut memiliki kehadiran di Telegram dengan nama “tttseo” dan aplikasi pesan instan QQ untuk memfasilitasi transaksi bisnis ilegal dengan klien yang membayar.
“Para pesaing ini juga menawarkan layanan pelanggan yang tampaknya berkualitas, menyesuaikan rencana promosi agar paling sesuai dengan kebutuhan klien mereka,” tambah Chen.
“Pelanggan dapat mengirimkan kata kunci dan situs web yang ingin mereka promosikan, dan DragonRank mengembangkan strategi yang sesuai dengan spesifikasi ini. Grup ini juga mengkhususkan diri dalam menargetkan promosi ke negara dan bahasa tertentu, memastikan pendekatan yang disesuaikan dan komprehensif terhadap pemasaran daring.”