Масштаб атак охватил уже несколько стран и множество сфер бизнеса.
Исследователи безопасности обнаружили новую кибератаку, нацеленную на манипуляцию результатами поисковых систем (SEO). Кампания, получившая название DragonRank, затронула несколько стран Азии и Европы, включая Таиланд, Индию, Корею, Бельгию, Нидерланды и Китай. Киберпреступники используют уязвимости веб-приложений для взлома серверов и запуска вредоносного ПО.
Специалисты Cisco Talos сообщили, что атаки начинаются с компрометации веб-приложений, таких как phpMyAdmin и WordPress. Злоумышленники внедряют вредоносные программы, такие как BadIIS, используя уязвимости систем. В результате, атакованные серверы превращаются в платформы для мошеннических операций, связанных с SEO-манипуляциями.
BadIIS позволяет атакующим модифицировать содержимое веб-сайтов, чтобы влиять на алгоритмы поисковых систем. Это помогает продвигать сторонние веб-сайты, увеличивать трафик на мошеннические ресурсы и улучшать их позиции в результатах поиска. Основной целью является создание фальшивого рейтинга для продвижения определённых сайтов, в том числе с контентом для взрослых.
Эксперты отмечают, что одна из ключевых особенностей этой кампании — использование вредоносных программ для обхода механизмов безопасности. Например, BadIIS может маскироваться под Googlebot, что позволяет ему незаметно взаимодействовать с командами управления (C2), избегая обнаружения.
Атаки DragonRank охватывают широкий спектр отраслей, включая ювелирное дело, медиа, здравоохранение, транспорт и даже организации, занимающиеся фэншуй. Злоумышленники активно используют утилиты для кражи учётных данных и программные инструменты, такие как Mimikatz и PlugX, для сохранения контроля над скомпрометированными системами.
Аналитики также обратили внимание на то, что злоумышленники предоставляют клиентам детализированные планы продвижения, позволяя им выбирать ключевые слова и целевые рынки для оптимизации их мошеннических сайтов. Хакеры активно взаимодействует с клиентами через мессенджеры Telegram и QQ, предлагая услуги по продвижению сайтов на конкретные языки и в определённых странах.
Специалисты призывают компании быть бдительными и следить за безопасностью своих веб-приложений, так как подобные кампании становятся всё более изощрёнными и нацеленными на уязвимые сервисы.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале