DragonRank, egy kínai SEO manipulátor szolgáltató
A Cisco Talos nyilvánosságra hozott egy új, „DragonRank” nevű fenyegetést, amely elsősorban ázsiai és néhány európai országot céloz meg, és a PlugX és BadIIS keresőmotor-optimalizálási (SEO) rangsormanipulációt működtet. A DragonRank a célpontok webes alkalmazásszolgáltatásait kihasználva egy web shell-t telepít, és azt felhasználja rendszerinformációk gyűjtésére és olyan rosszindulatú programok futtatására, mint a PlugX és a BadIIS, amelyek különböző hitelesítő adatokat begyűjtő segédprogramokat futtatnak. A Cisco Talos megerősítette, hogy több mint 35 IIS-kiszolgálót kompromittáltak, és a BadIIS kártevőt a legkülönbözőbb földrajzi régiókban, többek között Thaiföldön, Indiában, Koreában, Belgiumban, Hollandiában és Kínában telepítették ebben a kampányban. A Talos felfedezte a DragonRank kereskedelmi weboldalát, üzleti modelljét és azonnali üzenetküldő fiókjait is. Ezen információk alapján közepes vagy nagyfokú biztonsággal állapították meg, hogy a DragonRank hackercsoportot egy kínai szereplő működteti.
Ezek a tevékenységek olyan eszközöket és taktikákat, technikákat és eljárásokat (TTP-k) alkalmaznak, amelyek jellemzően az egyszerűbb kínai hackercsoportokhoz kapcsolódnak. A hackercsoport elsődleges célja a vállalati weboldalaknak otthont adó Windows Internet Information Services (IIS) szerverek kompromittálása a BadIIS malware beültetésének szándékával. A BadIIS egy olyan kártevő, amelyet a keresőmotorok crawler-jeinek manipulálására és az érintett webhelyek SEO-jának megzavarására használnak. A DragonRank ezekkel a kompromittált IIS-kiszolgálókkal terjesztheti a csaló webhelyet a gyanútlan felhasználóknak. A szereplő a megtámadott weboldalakat átveszi és népszerűsíti, így ezeket az oldalakat gyakorlatilag átverési műveletek platformjaivá alakítja. Az ebben a kampányban megfigyelt átverési webhelyek pornóhoz és szexhez kapcsolódó kulcsszavakat használnak, és a kulcsszavak konfigurációs adatait a C2 szerverekről több nyelvre is lefordították. A Talos megerősítette, hogy több mint 35 IIS-kiszolgálót kompromittáltak, és ezek szolgáltak a támadás csatornájaként.
