“Basitleştirilmiş Çince konuşan bir aktör”ün, arama motoru optimizasyonu (SEO) sıralaması manipülasyonu gerçekleştirmeyi amaçlayan ve Asya ve Avrupa’daki birçok ülkeyi hedefleyen yeni bir kampanyayla ilişkilendirildiği bildirildi.
Siyah şapka SEO kümesinin kod adı EjderhaSırası Cisco Talos tarafından yürütülen ve kurban psikolojisi ayak izlerinin Tayland, Hindistan, Kore, Belçika, Hollanda ve Çin’e yayıldığı bir çalışma.
Güvenlik araştırmacısı Joey Chen, “DragonRank, hedeflerin web uygulama hizmetlerini kullanarak bir web kabuğu dağıtıyor ve bunu sistem bilgilerini toplamak, PlugX ve BadIIS gibi kötü amaçlı yazılımları başlatmak ve çeşitli kimlik bilgisi toplama yardımcı programlarını çalıştırmak için kullanıyor” dedi.
Saldırılar, ESET tarafından ilk olarak Ağustos 2021’de belgelenen BadIIS kötü amaçlı yazılımını dağıtma nihai hedefiyle 35 İnternet Bilgi Hizmetleri (IIS) sunucusunun ele geçirilmesine yol açtı.
Özellikle, tehlikeye atılan IIS sunucusunu, müşterileri (yani diğer tehdit aktörleri) ile kurbanları arasındaki kötü amaçlı iletişimler için bir aktarma noktasına dönüştürerek proxy yazılımlarını ve SEO dolandırıcılığını kolaylaştırmak için tasarlanmıştır.
Üstelik saldırganların ilgisini çeken diğer web sitelerinin sıralamasını yükseltmek ve arama motoru algoritmalarını manipüle etmek için arama motorlarına sunulan içerikleri değiştirebilir.
“Soruşturmanın en şaşırtıcı yönlerinden biri, IIS kötü amaçlı yazılımının ne kadar çok yönlü olduğu ve [detection of] Güvenlik araştırmacısı Zuzana Hromcova o dönemde The Hacker News’e yaptığı açıklamada, “SEO dolandırıcılığı, kötü amaçlı yazılımların arama motoru algoritmalarını manipüle etmek ve üçüncü taraf web sitelerinin itibarını artırmak için kullanıldığı bir suç planıdır” demişti.
Talos’un vurguladığı son saldırılar mücevher, medya, araştırma hizmetleri, sağlık, video ve televizyon prodüksiyonu, imalat, ulaştırma, dini ve manevi kuruluşlar, BT hizmetleri, uluslararası ilişkiler, tarım, spor ve feng shui dahil olmak üzere geniş bir yelpazedeki endüstri dikeylerini kapsıyor.
Saldırı zincirleri, phpMyAdmin ve WordPress gibi web uygulamalarındaki bilinen güvenlik açıklarından yararlanarak açık kaynaklı ASPXspy web kabuğunu kaldırmakla başlıyor ve bu kabuk, hedeflerin ortamına ek araçlar sokmak için bir kanal görevi görüyor.
Kampanyanın temel amacı, kurumsal web sitelerini barındıran IIS sunucularını ele geçirmek, bunları kötüye kullanarak BadIIS kötü amaçlı yazılımını yerleştirmek ve bunları porno ve seksle ilgili anahtar kelimeler kullanarak dolandırıcılık operasyonları için bir fırlatma rampası olarak kullanmaktır.
Kötü amaçlı yazılımın bir diğer önemli yönü ise bağlantıyı komuta ve kontrol (C2) sunucusuna aktarırken Kullanıcı Aracısı dizesinde Google arama motoru tarayıcısı gibi davranarak bazı web sitesi güvenlik önlemlerini aşabilmesidir.
“Tehdit aktörü, bir web sitesinin arama sonuçlarındaki sıralamasını iyileştirmek için arama motoru algoritmalarını değiştirerek veya istismar ederek SEO manipülasyonu yapar,” diye açıkladı Chen. “Bu saldırıları, kötü amaçlı sitelere trafik çekmek, sahte içeriklerin görünürlüğünü artırmak veya sıralamaları yapay olarak şişirerek veya düşürerek rakipleri rahatsız etmek için gerçekleştirirler.”
DragonRank’i diğer kara şapkalı SEO siber suç gruplarından ayıran önemli bir özellik, hedef ağındaki ek sunuculara sızmaya ve Çinli tehdit aktörleri tarafından yaygın olarak kullanılan bir arka kapı olan PlugX ve Mimikatz, PrintNotifyPotato, BadPotato ve GodPotato gibi çeşitli kimlik bilgisi toplama programlarını kullanarak bunlar üzerinde kontrol sağlamaya çalışmasıdır.
Saldırılarda kullanılan PlugX kötü amaçlı yazılımı DLL yan yükleme tekniklerine dayansa da, şifrelenmiş yükü başlatmaktan sorumlu yükleyici DLL, meşru dosyanın (yani DLL yan yüklemesine maruz kalabilen ikili dosyanın) herhangi bir alarmı tetiklemeden PlugX’i yükleyebilmesini sağlamak amacıyla Windows Yapılandırılmış İstisna İşleme (SEH) mekanizmasını kullanır.
Talos’un ortaya çıkardığı deliller, tehdit unsurunun Telegram’da “tttseo” kullanıcı adıyla ve QQ anlık mesajlaşma uygulamasında varlık göstererek ücretli müşterilerle yasa dışı ticari işlemleri kolaylaştırdığını gösteriyor.
Chen, “Bu rakipler ayrıca görünüşte kaliteli müşteri hizmetleri sunuyor ve müşterilerinin ihtiyaçlarına en uygun şekilde promosyon planları hazırlıyorlar” diye ekledi.
“Müşteriler tanıtmak istedikleri anahtar kelimeleri ve web sitelerini gönderebilir ve DragonRank bu özelliklere uygun bir strateji geliştirir. Grup ayrıca promosyonları belirli ülkelere ve dillere hedefleme konusunda uzmanlaşarak çevrimiçi pazarlamaya yönelik özelleştirilmiş ve kapsamlı bir yaklaşım sağlar.”