VietNetwork.Vn

Một "tác nhân nói tiếng Trung giản thể" đã được liên kết với một chiến dịch mới nhắm vào nhiều quốc gia ở Châu Á và Châu Âu với mục tiêu cuối cùng là thực hiện thao túng thứ hạng tối ưu hóa công cụ tìm kiếm (SEO).

Nhóm SEO mũ đen được Cisco Talos đặt tên mã là DragonRank, với dấu vết nạn nhân rải rác khắp Thái Lan, Ấn Độ, Hàn Quốc, Bỉ, Hà Lan và Trung Quốc.


"DragonRank khai thác các dịch vụ ứng dụng web của mục tiêu để triển khai một web shell và sử dụng nó để thu thập thông tin hệ thống và khởi chạy phần mềm độc hại như PlugX và BadIIS, chạy nhiều tiện ích thu thập thông tin xác thực khác nhau", nhà nghiên cứu bảo mật Joey Chen cho biết.

Các cuộc tấn công đã dẫn đến việc xâm phạm 35 máy chủ Dịch vụ thông tin Internet ( IIS ) với mục tiêu cuối cùng là triển khai phần mềm độc hại BadIIS, lần đầu tiên được ESET ghi nhận vào tháng 8 năm 2021.

Nó được thiết kế riêng để tạo điều kiện cho phần mềm proxy và gian lận SEO bằng cách biến máy chủ IIS bị xâm phạm thành điểm chuyển tiếp cho các liên lạc độc hại giữa khách hàng (tức là các tác nhân đe dọa khác) và nạn nhân của họ.

Ngoài ra, nó có thể sửa đổi nội dung cung cấp cho các công cụ tìm kiếm để thao túng thuật toán của công cụ tìm kiếm và tăng thứ hạng của các trang web khác mà kẻ tấn công quan tâm.

"Một trong những khía cạnh đáng ngạc nhiên nhất của cuộc điều tra là mức độ linh hoạt của phần mềm độc hại IIS và việc [phát hiện] âm mưu gian lận SEO, trong đó phần mềm độc hại bị sử dụng sai mục đích để thao túng thuật toán công cụ tìm kiếm và giúp nâng cao uy tín của các trang web của bên thứ ba", nhà nghiên cứu bảo mật Zuzana Hromcova chia sẻ với The Hacker News vào thời điểm đó.

Loạt tấn công mới nhất được Talos nêu bật bao gồm nhiều ngành công nghiệp khác nhau, bao gồm trang sức, truyền thông, dịch vụ nghiên cứu, chăm sóc sức khỏe, sản xuất video và truyền hình, sản xuất, vận tải, tổ chức tôn giáo và tâm linh, dịch vụ CNTT, quan hệ quốc tế, nông nghiệp, thể thao và phong thủy.


Chuỗi tấn công bắt đầu bằng việc lợi dụng các lỗ hổng bảo mật đã biết trong các ứng dụng web như phpMyAdmin và WordPress để loại bỏ web shell ASPXspy nguồn mở, sau đó hoạt động như một kênh để đưa các công cụ bổ sung vào môi trường của mục tiêu.

Mục tiêu chính của chiến dịch là xâm nhập các máy chủ IIS lưu trữ các trang web của công ty, lợi dụng chúng để cấy phần mềm độc hại BadIIS và biến chúng thành bàn đạp cho các hoạt động lừa đảo bằng cách sử dụng các từ khóa liên quan đến khiêu dâm và tình dục.

Một khía cạnh quan trọng khác của phần mềm độc hại này là khả năng ngụy trang thành trình thu thập thông tin của công cụ tìm kiếm Google trong chuỗi User-Agent khi chuyển tiếp kết nối đến máy chủ chỉ huy và kiểm soát (C2), do đó cho phép nó vượt qua một số biện pháp bảo mật của trang web.

"Kẻ đe dọa tham gia vào việc thao túng SEO bằng cách thay đổi hoặc khai thác các thuật toán của công cụ tìm kiếm để cải thiện thứ hạng của trang web trong kết quả tìm kiếm", Chen giải thích. "Chúng thực hiện các cuộc tấn công này để hướng lưu lượng truy cập đến các trang web độc hại, tăng khả năng hiển thị nội dung gian lận hoặc phá vỡ đối thủ cạnh tranh bằng cách thổi phồng hoặc hạ thấp thứ hạng một cách giả tạo".

Một cách quan trọng giúp DragonRank khác biệt với các nhóm tội phạm mạng SEO mũ đen khác là cách chúng cố gắng xâm nhập vào các máy chủ bổ sung trong mạng của mục tiêu và duy trì quyền kiểm soát chúng bằng PlugX, một cửa hậu được nhiều tác nhân đe dọa Trung Quốc sử dụng rộng rãi và nhiều chương trình thu thập thông tin đăng nhập khác như Mimikatz, PrintNotifyPotato, BadPotato và GodPotato.

Mặc dù phần mềm độc hại PlugX được sử dụng trong các cuộc tấn công dựa vào các kỹ thuật tải phụ DLL, trình tải DLL chịu trách nhiệm khởi chạy tải trọng được mã hóa sử dụng cơ chế Xử lý ngoại lệ có cấu trúc của Windows (SEH) để đảm bảo rằng tệp hợp lệ (tức là tệp nhị phân dễ bị tải phụ DLL) có thể tải PlugX mà không gây ra bất kỳ cảnh báo nào.

Bằng chứng do Talos tìm ra chỉ ra rằng kẻ tấn công vẫn hiện diện trên Telegram dưới tên " tttseo " và ứng dụng nhắn tin tức thời QQ để tạo điều kiện cho các giao dịch kinh doanh bất hợp pháp với những khách hàng trả phí.

Chen nói thêm: "Những đối thủ này cũng cung cấp dịch vụ chăm sóc khách hàng có vẻ chất lượng, điều chỉnh các kế hoạch khuyến mại để phù hợp nhất với nhu cầu của khách hàng".

"Khách hàng có thể gửi các từ khóa và trang web mà họ muốn quảng bá, và DragonRank sẽ phát triển một chiến lược phù hợp với các thông số kỹ thuật này. Nhóm này cũng chuyên về việc nhắm mục tiêu quảng cáo đến các quốc gia và ngôn ngữ cụ thể, đảm bảo phương pháp tiếp cận toàn diện và tùy chỉnh cho tiếp thị trực tuyến."