Güvenlik uzmanları yakın zamanda yaptıkları bir keşifte, “DragonRank” adını verdikleri şüpheli yeni bir etkinlik kümesi tespit ettiler. Bu etkinliğin Çin kökenli olduğuna inanılıyor ve Avrupa’daki birkaç ülkeyle birlikte Asya’daki çeşitli ülkeleri hedef aldığı gözlemlendi.
DragonRank operasyonları, kurbanlardan sistem bilgilerini toplamak ve PlugX ve BadIIS gibi kötü amaçlı yazılım yüklerini dağıtmak için kullanılan web kabukları aracılığıyla yürütülüyor ve meşru kurumsal web sitelerini barındıran Windows Internet Information Services (IIS) sunucularını tehlikeye atarak arama motoru optimizasyonu (SEO) sıralamalarını manipüle etme amacı taşıyor.
DragonRank’ın Çalışma Şekli
Cisco Talos’tan araştırmacılar, etkinlik kümesinin taktiklerinin, tekniklerinin ve prosedürlerinin (TTP’ler) Basitleştirilmiş Çince’ye dayanan hacker gruplarıyla birçok benzerlik taşıdığını belirtiyor. DragonRank, mücevher, medya, araştırma hizmetleri, sağlık hizmetleri ve daha fazlası dahil olmak üzere çeşitli sektörlerdeki 35’ten fazla IIS sunucusunu tehlikeye atmak için geniş kapsamlı ve hedefsiz bir yaklaşım kullanmıştı.
Grubun birincil hedefi, arama motoru tarayıcılarını manipüle eden ve etkilenen sitelerin SEO’sunu bozan BadIIS kötü amaçlı yazılımını yerleştirmektir. Bunu başarmak için DragonRank, phpMyAdmin, WordPress veya benzeri web uygulamaları gibi web uygulama hizmetlerindeki güvenlik açıklarından yararlanır.
Kontrolü ele geçirdiklerinde, sistem bilgilerini toplamalarına, kötü amaçlı yazılım başlatmalarına ve çeşitli kimlik bilgisi toplama yardımcı programlarını çalıştırmalarına olanak tanıyan bir web kabuğu dağıtırlar. Grup ayrıca, birden fazla Çinli tehdit aktörü tarafından kullanılan iyi bilinen bir arka kapı olan PlugX’i arka kapı kötü amaçlı yazılımları olarak kullanır. PlugX yükleyicisini başlatmak için savunmasız meşru ikili dosyaları istismar eden DLL yan yükleme tekniğini kullanırlar.
Grup, saldırı zincirinde düşük bir profil sürdürmek, enfekte olmuş ağlarda kalıcılığı sürdürmek ve ayrıca tehlikeye atılmış sistemlerdeki bir yöneticinin misafir hesabına olan izinlerini klonlamak için bir kullanıcı klonlama yardımcı programı aracı da kullanıyor.
Ayrıca hedef ağdaki ek Windows IIS sunucularına da, ek web kabukları dağıtarak veya çalınan kimlik bilgilerini kullanarak uzak masaüstü oturum açma bilgilerini istismar ederek sızıyorlar.
Hacking Hizmetlerinin Ticari Satışı
DragonRank, çapraz site sıralaması, tek site sıralaması, parazit sıralaması, ekstrapolasyon sıralaması ve arama sonucu hakimiyeti dahil olmak üzere beyaz şapka ve siyah şapka SEO hizmetleri sunan ticari bir web sitesi işletmektedir. Dünya çapında 200’den fazla ülke ve bölgeyi kapsayan büyük miktarda sektör çapında reklamcılığı desteklediklerini iddia ediyorlar.
Grup ayrıca Telegram ve QQ anlık mesajlaşma uygulamasında iletişim bilgilerini paylaşarak, kullanıcıların kendileriyle iletişime geçmesine ve yeraltı ticari faaliyetleri yürütmesine olanak tanıyor.
DragonRank hacking kümesi, çeşitli sektörlerdeki çok sayıda IIS sunucusunun geniş çaplı tehlikeye atılması nedeniyle küresel arama motoru optimizasyonu için önemli bir tehdit oluşturabilir. Dahası, DragonRank etkilenen şirketlerin arama sıralamalarını bozmaya ve çevrimiçi varlıklarını olumsuz etkilemeye eğilimlidir. Şirketlerin bu tehditten haberdar olmaları ve web uygulama hizmetlerini güvence altına almak ve bu tür saldırılara karşı korunmak için gerekli önlemleri almaları önemlidir.