DragonRank: Kelompok Penipuan SEO Serang Asia dan Eropa

Seorang individu yang terlibat dalam kegiatan penipuan di Cina telah diidentifikasi sebagai pelaku dari serangan terbaru yang menargetkan beberapa negara di Asia dan Eropa, dengan tujuan akhir untuk melakukan manipulasi Search Engine Optimization (SEO).

Kelompok SEO hitam ini, yang diberi kode nama DragonRank oleh Cisco Talos, telah mencatat jejak korban yang tersebar di Thailand, India, Korea, Belgia, Belanda, dan China.

Peneliti keamanan, Joey Chen, menjelaskan, "DragonRank memanfaatkan layanan aplikasi web yang menjadi target untuk menyebarkan shell web, yang kemudian digunakan untuk mengumpulkan informasi sistem serta meluncurkan malware seperti PlugX dan BadIIS, yang berfungsi untuk mengumpulkan kredensial secara beragam."

Serangan ini telah menyebabkan kompromi terhadap 35 server Internet Information Services (IIS) dengan tujuan utama menyebarkan malware BadIIS, yang pertama kali didokumentasikan oleh ESET pada bulan Agustus 2021.

BadIIS dirancang khusus untuk memfasilitasi proxy ware dan penipuan SEO dengan mengubah server IIS yang terkompromi menjadi titik relay untuk komunikasi berbahaya antara aktor ancaman dan korban mereka.

Selain itu, malware ini memiliki kemampuan untuk memodifikasi konten yang disajikan kepada mesin pencari, sehingga dapat memanipulasi algoritma mesin pencari dan meningkatkan peringkat situs web lain yang menjadi target para penyerang.

Dalam penyelidikan ini, Zuzana Hromcova, peneliti keamanan, menyatakan, "Salah satu aspek yang paling mengejutkan adalah betapa serbagunanya malware IIS dan skema penipuan SEO, di mana malware disalahgunakan untuk memanipulasi algoritma pencarian dan membantu meningkatkan reputasi situs web pihak ketiga."

Serangkaian serangan terbaru yang dicatat oleh Talos mencakup berbagai industri, termasuk perhiasan, media, layanan penelitian, kesehatan, produksi video dan televisi, manufaktur, transportasi, organisasi keagamaan, layanan TI, urusan internasional, pertanian, olahraga, dan feng shui.

Proses serangan dimulai dengan mengeksploitasi celah keamanan yang diketahui dalam aplikasi web seperti phpMyAdmin dan WordPress untuk menyebarkan shell web ASPXspy yang bersifat sumber terbuka, yang kemudian berfungsi sebagai saluran untuk memperkenalkan alat tambahan ke dalam lingkungan target.

Tujuan utama dari kampanye ini adalah untuk mengkompromikan server IIS yang menghosting situs web perusahaan, menyalahgunakannya untuk menanamkan malware BadIIS dan secara efektif mengubahnya menjadi peluncur untuk operasi penipuan dengan memanfaatkan kata kunci terkait pornografi dan seks.

Salah satu aspek signifikan dari malware ini adalah kemampuannya untuk menyamar sebagai crawler mesin pencari Google dalam string User-Agent, sambil melanjutkan koneksi ke server command-and-control (C2), sehingga memungkinkan untuk melewati beberapa langkah keamanan situs web.

Menurut Chen, "Aktor ancaman terlibat dalam manipulasi SEO dengan cara mengubah atau memanfaatkan algoritma mesin pencari untuk meningkatkan peringkat situs web dalam hasil pencarian. Mereka melakukan serangan ini untuk menarik lalu lintas ke situs yang berpotensi membahayakan, meningkatkan visibilitas konten penipuan, atau secara artifisial mengganggu kompetitor dengan menaikkan atau menurunkan peringkat."

DragonRank juga membedakan dirinya dari kelompok kejahatan siber SEO hitam lainnya dengan pendekatannya dalam mencoba membobol server tambahan dalam jaringan target serta mempertahankan kontrol menggunakan PlugX, sebuah backdoor yang umum digunakan oleh aktor ancaman asal China, serta berbagai program pengumpul kredensial lainnya seperti Mimikatz, PrintNotifyPotato, BadPotato dan GodPotato.

Walaupun malware PlugX yang digunakan dalam serangan ini memanfaatkan teknik pemuatan sisi DLL, loader DLL yang bertanggung jawab untuk meluncurkan payload terenkripsi menggunakan mekanisme Windows Structured Exception Handling (SEH) untuk memastikan bahwa file yang sah dapat memuat PlugX tanpa memicu alarm keamanan.

Bukti yang diungkap oleh Talos menunjukkan bahwa aktor ancaman ini menjaga kehadiran mereka di Telegram dengan nama pengguna "tttseo" dan aplikasi pesan instan QQ untuk memfasilitasi transaksi bisnis ilegal dengan klien yang membayar.

Chen menambahkan, "Para pelaku ini juga menawarkan layanan pelanggan yang tampaknya berkualitas, dengan menyusun rencana promosi yang paling sesuai dengan kebutuhan klien mereka. Klien dapat mengajukan kata kunci dan situs web yang ingin dipromosikan, dan DragonRank akan mengembangkan strategi berdasarkan spesifikasi tersebut. Grup ini juga proaktif dalam memasarkan promosi ke negara dan bahasa tertentu, memastikan pendekatan yang disesuaikan dan komprehensif dalam pemasaran online."