Cisco Talos heeft ontdekt dat een Chinese hackersgroep zoekmachineresultaten manipuleert. ‘DragonRank’ compromitteert IIS-servers over de hele wereld, ook in Nederland.
De groep past geavanceerde SEO-manipulatietechnieken toe, ook wel bekend als black hat SEO, om kwaadaardige websites hoger in zoekresultaten te plaatsen. Black hat SEO omvat illegale methoden die zoekmachines manipuleren door middel van technieken zoals keyword stuffing, link farming en het verbergen van schadelijke inhoud. Hierdoor kunnen cybercriminelen de zichtbaarheid van gevaarlijke websites vergroten en nietsvermoedende gebruikers naar risicovolle pagina’s leiden.
DragonRank breekt in op webapplicaties van bedrijven en plaatst een webshell, waarmee ze de controle over servers krijgen om malware te installeren. De hackersgroep maakt met name gebruik van de PlugX- en BadIIS-malware en zet daarnaast diverse tools in voor het verzamelen van inloggevens en het klonen van gebruikersaccounts.
PlugX is een geavanceerde backdoor, die veel gebruikt wordt door Chinese actoren. Het maakt gebruik van technieken zoals DLL-sideloading en Windows Structured Exception Handling (SEH) om malware ongemerkt te laden, waardoor detectie door securitysoftware moeilijk wordt. BadIIS richt zich specifiek op IIS-servers en manipuleert SEO-structuren door HTTP-reacties voor zoekmachine-crawlers te wijzigen. Hierdoor kunnen cybercriminelen schadelijke websites via zoekmachines promoten en zoekresultaten vervalsen.
