DragonRank na celowniku. Cyberataki i manipulacje SEO
Zespół badaczy Cisco Talos odkrył działalność chińskiej grupy hakerskiej DragonRank, która wykorzystuje nowatorskie techniki w cyberprzestrzeni. Ich metody działania opierają się na wykorzystaniu zaawansowanego malware, jak PlugX i BadIIS, oraz manipulacjach wynikami wyszukiwarek internetowych za pomocą nielegalnych działań SEO (tzw. black hat SEO).
DragonRank wykorzystuje serwery aplikacji internetowych ofiar, by wdrożyć złośliwe powłoki, które pozwalają na dalsze infiltracje systemów. Zespół Cisco Talos zidentyfikował ponad 35 zainfekowanych serwerów na całym świecie, m.in. w Indiach, Korei, Belgii i Chinach.
Złośliwe oprogramowanie i oszustwa SEO
Hakerzy z DragonRank stosują techniki bocznego ładowania DLL i wykorzystują protokół SEH do uruchamiania malware, co pozwala im manipulować systemami bez wzbudzania podejrzeń. PlugX umożliwia grupie zdalny dostęp do systemów, zbieranie danych uwierzytelniających oraz kontrolowanie zainfekowanych serwerów. Z kolei BadIIS to narzędzie do manipulowania wynikami wyszukiwarek, które umożliwia manipulowanie rankingami stron internetowych.
Manipulacje SEO pozwalają DragonRank na kierowanie ruchu internetowego do zainfekowanych witryn, często zawierających szkodliwe treści. Działania te znacząco zagrażają zarówno użytkownikom, jak i firmom, których strony mogą być wykorzystywane do nielegalnych celów.
Komercyjna strona hakerstwa
Choć DragonRank jest nowym graczem w obszarze black hat SEO, to szybko zdobywa rynek, oferując swoje usługi na platformach takich jak Telegram czy QQ.
Co więcej, grupa zapewnia swoim klientom zarówno usługi nielegalne, jak i legalne, oferując m.in. white hat SEO, co czyni ich działania jeszcze bardziej niebezpiecznymi. Klienci DragonRank mogą dostarczać słowa kluczowe, które chcą promować, a hakerzy wdrażają spersonalizowane strategie marketingowe, wykorzystując swoją wiedzę o lukach w zabezpieczeniach sieciowych.
Zdolność DragonRank do łączenia działań marketingowych z cyberprzestępstwami sprawia, że stanowią oni poważne zagrożenie dla bezpieczeństwa w sieci.
Źródło: Cisco Talos