Siber Suç, Dolandırıcılık Yönetimi ve Siber Suç
Tehdit Aktörü SEO Hizmetlerini Çince ve İngilizce Olarak Tanıtıyor
Prajeet Nair (@prajeetskonuşuyor) •
13 Eylül 2024
Çinli bir arama motoru optimizasyonu operasyonu, kötü amaçlı porno sitelerinin çevrimiçi sıralamasını yükseltmeye yönelik bir kampanya kapsamında 35’ten fazla web sunucusunu hackledi ve kimlik bilgilerini çaldı.
Ayrıca bakınız: İsteğe Bağlı | 2024 Kimlik Avı İçgörüleri: 11,9 Milyon Kullanıcı Davranışının Riskiniz Hakkında Gösterdikleri
Cisco Talos’tan araştırmacılar tehdit kümesine DragonRank adını verdi ve arama motoru optimizasyonu hizmetlerini – yasal ve yasadışı – Çince ve İngilizce olarak tanıttığını söyledi. Black SEO teklifleri arasında web sunucularını tehlikeye atmak, meşru web sitelerine gizli bağlantı veya anahtar kelimeler enjekte etmek ve kötü amaçlı sitelere geri bağlantılar oluşturmak yer alıyor. Operasyonla ilişkili bir çevrimiçi alan adı, tttseo.combir web sitesine çözülmüyor.
Geri bağlantılar, kötü amaçlı sitelerin arama motoru performansını yapay olarak artırarak, şüphelenmeyen kullanıcıların onları ziyaret etme ve hassas bilgiler sağlamaya veya kötü amaçlı yazılım indirmeye kandırılma olasılığını artırır. Bu kampanya sırasında saldırıya uğrayan web sunucuları dünya çapındadır ve Tayland, Hindistan, Kore, Belçika, Hollanda ve Çin’deki kurbanları içerir.
DragonRank’in birincil hedefi web sunucularına sızmak ve SEO manipülasyonu gerçekleştirmek için BadIIS kötü amaçlı yazılımını (IIS, Microsoft’un genişletilebilir web sunucusu olan Internet Information Services’ın kısaltmasıdır) bırakmaktır. Kullanıcı Aracısı dizesinde Google arama motoru tarayıcısını taklit ederek bir komuta ve kontrol sunucusuna iletişimleri gizler.
Sunuculara girmek, DragonRank hacker’larının phpMyAdmin ve WordPress gibi web uygulama servislerindeki güvenlik açıklarını aramasıyla başlar. Bir web kabuğu dağıtırlar ve Mimikatz, BadPotato ve GodPotato gibi yardımcı programları kullanarak sistem bilgilerini toplarlar ve ek kötü amaçlı yazılımlar indirirler. Hacker’lar ağlara yatay olarak girmek için kimlik bilgisi toplama araçları dağıtırlar. DragonRink’in kötü amaçlı yazılım cephaneliğinde, tespitten kaçınmak için DLL yan yükleme tekniklerini ve Windows Yapılandırılmış İstisna İşleme mekanizmasını kullanan PlugX bulunur. PlugX’in enfekte sistemlerdeki kalıcılığı, grubun şüphe uyandırmadan kontrolü sürdürmesini sağlar.
Cisco Talos, DragonRank’in faaliyetlerini meşru web sitelerinde reklam vererek müşteri bulan Basitleştirilmiş Çince kullanan tehdit aktörlerine bağladı. Araştırmacılar, tehdit aktörünün ayrıca sosyal medya platformlarında toplu gönderi yapma hizmetleri sunduğunu söyledi.