Çince konuşan bir hacker grubu olan DragonRank, dünya çapında 30’dan fazla Windows sunucusunu tehlikeye attı. SEO sıralamalarını manipüle etmek, dolandırıcılık web siteleri dağıtmak ve PlugX ve BadIIS gibi kötü amaçlı yazılımları yaymak için IIS güvenlik açıklarından yararlanıyorlar.
“DragonRank” olarak bilinen Çince konuşan bir bilgisayar korsanı grubunun, Tayland, Hindistan, Kore, Belçika, Hollanda ve Çin’in de aralarında bulunduğu dünya genelinde 30’dan fazla Windows sunucusunu tehlikeye attığı tespit edildi.
Grubun temel amacı, arama motoru tarayıcılarını manipüle etmek ve etkilenen sitelerin Arama Motoru Optimizasyonunu (SEO) bozmak, sonuçta dolandırıcılık amaçlı web sitelerini şüphelenmeyen kullanıcılara dağıtmaktır.
Saldırı Nasıl Çalışır?
DragonRank hack grubu, phpMyAdmin, WordPress veya benzeri web uygulamaları gibi web uygulama hizmetlerindeki güvenlik açıklarını kullanarak Windows Internet Information Services (IIS) sunucularına ilk erişimi elde eder. Hedeflenen sitede uzaktan kod yürütme veya dosya yükleme yeteneğini elde ettiklerinde, ASPXspy gibi bir web kabuğu dağıtır ve bu da onlara tehlikeye atılmış sunucu üzerinde kontrol sağlar.
Hackread.com ile Salı günü yayımlanmadan önce paylaşılan Cisco Talos’un uzun ve teknik raporuna göre, grup daha sonra web kabuğunu kullanarak sistem bilgilerini topluyor ve PlugX ve BadIIS gibi kötü amaçlı yazılımları ve Mimikatz, PrintNotifyPotato, BadPotato ve GodPotato gibi kimlik bilgisi toplama yardımcı programlarını başlatıyor. Ayrıca, web kabuğu dağıtımı yoluyla veya edinilen kimlik bilgilerini kullanarak uzak masaüstü oturum açmalarını istismar ederek hedefin ağındaki ek Windows IIS sunucularını da ihlal ediyorlar.
Bilginize, PlugX, çeşitli Çince konuşan siber tehdit aktörleri tarafından on yıldan uzun süredir konuşlandırılan, modüler eklentiler ve özellik yapılandırmalarıyla donatılmış iyi bilinen bir RAT’tır (uzaktan erişim aracı). Bu kampanyadaki PlugX yapılandırması, yürütülebilir dosyayı düzgün bir şekilde çalıştırmak için gereken tüm değerleri ve bilgileri içerir.
Öte yandan BadIIS, arama motoru tarayıcılarını ve köprü metni atlamalarını manipüle etmek için kullanılan bir kötü amaçlı yazılımdır. Bu kampanyada tespit edilen BadIIS sürümü, Black Hat USA 2021’de (PDF) belirtilen sürümle benzer özellikleri paylaşıyor; bunlar arasında IIS proxy’si olarak yapılandırma ve SEO dolandırıcılığı yetenekleri yer alıyor.
İlginçtir ki, araştırmacılar DragonRank’in hem Çince hem de İngilizce olarak hizmetlerini sunan ticari bir web sitesiyle bir işletme gibi çalıştığını da belirttiler. Müşterilerle Telegram ve QQ gibi platformlar aracılığıyla etkileşime girerek, özel SEO dolandırıcılık hizmetleri sağlıyorlar. İş modelleri, işlem onayları hakkında bir uyarı notu içeriyor ve tipik siber suç gruplarında nadir görülen bir profesyonellik seviyesiyle çalıştıklarını ima ediyor.
Bununla birlikte, DragonRank hack grubunun faaliyetleri çevrimiçi güvenliğe tehdit oluşturmaktadır; çünkü kötü amaçlı sitelere trafik çekebilir, sahte içeriklerin görünürlüğünü artırabilir veya sıralamaları yapay olarak şişirerek veya düşürerek rakiplerin işini zorlaştırabilir.
Bu saldırılar bir şirketin çevrimiçi varlığına zarar verebilir, finansal kayıplara yol açabilir ve markayı aldatıcı veya zararlı uygulamalarla ilişkilendirerek itibarını zedeleyebilir. Bu nedenle, işletmeler ve BT departmanları şunları yapmalıdır:
- Gelişmiş Tehdit Algılama’yı kullanın: PlugX gibi karmaşık kötü amaçlı yazılımları tespit edip bunlara yanıt verebilen çözümler uygulayın.
- Güvenlik Önlemlerini Düzenli Olarak Güncelleyin: Tüm sistemlerinizin, özellikle web sunucularınızın bilinen güvenlik açıklarına karşı yamalandığından emin olun.
- Ağ Trafiğini İzleyin: BadIIS gibi kötü amaçlı yazılımlara işaret edebilecek olağandışı giden bağlantıları veya sunucu davranışındaki değişiklikleri arayın.
- Personeli Eğitmek: Siber tehditler konusunda farkındalık eğitimleri, kimlik avı veya diğer sosyal mühendislik girişimlerinin erken tespit edilmesine yardımcı olabilir.
İLGİLİ KONULAR
- Çinli SMS Kimlik Avı Grubu, Dolandırıcılık Sonrası Hindistan’daki iPhone Kullanıcılarını Vurdu
- ValleyRAT Kötü Amaçlı Yazılımı Yeni Saldırıda Çinli Windows Kullanıcılarını Hedef Alıyor
- Çin Velvet Ant APT Hedef F5 Cihazları Yıllardır Süren Casuslukta
- “Solmayan Deniz Pusu” Hacker’ları Güney Çin Denizi’ndeki Askeri Hedefleri Vurdu
- Çinli Blackwood APT, Siber Casuslukta NSPX30 Arka Kapısını Kullanıyor