Un « acteur chinois simplifié » a été associé à une nouvelle campagne ciblant plusieurs pays d’Asie et d’Europe dans le but final de manipuler les classements d’optimisation des moteurs de recherche (SEO).
Le cluster Black Hat SEO a été nommé DragonRank par Cisco Talos, avec une empreinte victimologique dispersée en Thaïlande, en Inde, en Corée, en Belgique, aux Pays-Bas et en Chine.
“DragonRank exploite les services d’application Web des cibles pour déployer un shell Web et l’utilise pour collecter des informations système et lancer des logiciels malveillants tels que PlugX et BadIIS, en exécutant divers utilitaires de collecte d’informations d’identification”, a déclaré le chercheur en sécurité Joey Chen. dit.
Les attaques ont conduit à la compromission de 35 services d’information Internet (IIS) dans le but final de déployer le malware BadIIS, qui a été documenté pour la première fois par ESET en août 2021.
Il est spécialement conçu pour faciliter les logiciels proxy et la fraude SEO en transformant le serveur IIS compromis en un point de relais pour les communications malveillantes entre ses clients (c’est-à-dire d’autres acteurs malveillants) et leurs victimes.
En plus de cela, il peut modifier le contenu proposé aux moteurs de recherche pour manipuler les algorithmes des moteurs de recherche et améliorer le classement d’autres sites Web intéressant les attaquants.
“L’un des aspects les plus surprenants de l’enquête est la polyvalence des logiciels malveillants IIS et la (détection) des stratagèmes criminels de fraude SEO, où les logiciels malveillants sont utilisés à mauvais escient pour manipuler les algorithmes des moteurs de recherche et contribuer à renforcer la réputation de sites Web tiers”, a déclaré la sécurité. » a déclaré à l’époque la chercheuse Zuzana Hromcova à The Hacker News.
La dernière série d’attaques mises en évidence par Talos couvre un large éventail de secteurs industriels, notamment la bijouterie, les médias, les services de recherche, les soins de santé, la production vidéo et télévisuelle, la fabrication, les transports, les organisations religieuses et spirituelles, les services informatiques, les affaires internationales, l’agriculture, les sports, et le feng shui.
Les chaînes d’attaque commencent par exploiter les failles de sécurité connues dans les applications Web telles que phpMyAdmin et WordPress pour abandonner le shell Web open source ASPXspy, qui sert ensuite de canal pour introduire des outils supplémentaires dans l’environnement des cibles.
L’objectif principal de la campagne est de compromettre les serveurs IIS hébergeant des sites Web d’entreprise, en en abusant pour implanter le malware BadIIS et en les réutilisant efficacement comme rampe de lancement pour des opérations frauduleuses en utilisant des mots-clés liés au porno et au sexe.
Un autre aspect important du malware est sa capacité à se faire passer pour le robot du moteur de recherche Google dans sa chaîne User-Agent lorsqu’il relaie la connexion au serveur de commande et de contrôle (C2), lui permettant ainsi de contourner certaines mesures de sécurité du site Web.
“L’acteur malveillant se livre à des manipulations de référencement en modifiant ou en exploitant les algorithmes des moteurs de recherche pour améliorer le classement d’un site Web dans les résultats de recherche”, a expliqué Chen. “Ils mènent ces attaques pour diriger le trafic vers des sites malveillants, augmenter la visibilité de contenus frauduleux ou perturber les concurrents en gonflant ou en dégonflant artificiellement les classements.”
DragonRank se distingue des autres groupes de cybercriminalité SEO par la manière dont il tente de pirater des serveurs supplémentaires au sein du réseau de la cible et d’en maintenir le contrôle à l’aide de PlugX, une porte dérobée largement partagée par les acteurs chinois de la menace, et divers programmes de collecte d’informations d’identification. tels que Mimikatz, PrintNotifyPotato, BadPotato et GodPotato.
Bien que le malware PlugX utilisé dans les attaques s’appuie sur des techniques de chargement latéral de DLL, le chargeur DLL responsable du lancement de la charge utile chiffrée utilise le mécanisme SEH (Structured Exception Handling) de Windows pour tenter de garantir que le fichier légitime (c’est-à-dire le fichier binaire sensible) au chargement latéral de la DLL) peut charger le PlugX sans déclencher d’alarme.
Les preuves découvertes par Talos indiquent que l’acteur menaçant maintient une présence sur Telegram sous le pseudo “tttseo” et l’application de messagerie instantanée QQ pour faciliter les transactions commerciales illégales avec les clients payants.
“Ces adversaires offrent également un service client apparemment de qualité, adaptant leurs plans promotionnels pour répondre au mieux aux besoins de leurs clients”, a ajouté Chen.
“Les clients peuvent soumettre les mots-clés et les sites Web qu’ils souhaitent promouvoir, et DragonRank développe une stratégie adaptée à ces spécifications. Le groupe se spécialise également dans le ciblage des promotions sur des pays et des langues spécifiques, garantissant ainsi une approche personnalisée et globale du marketing en ligne.”
Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.
Source link
