Chinese hackersgroep manipuleert zoekresultaten
Cisco Talos waarschuwt voor een nieuwe dreiging: ‘DragonRank’. Deze Chinese hackersgroep manipuleert zoekmachineresultaten (SEO) door IIS-servers (Internet Information Services) in Nederland, Azië en andere delen van Europa te compromitteren.
Cisco Talos heeft een nieuwe dreiging ontdekt, genaamd ‘DragonRank’. Deze Chinese hackersgroep manipuleert zoekmachineresultaten (SEO) door IIS-servers (Internet Information Services) in Nederland, Azië en andere delen van Europa aan te vallen.
De groep past geavanceerde technieken voor SEO-manipulatie toe, ook wel black hat SEO genoemd, om kwaadaardige websites hoger in de zoekresultaten te krijgen. Black hat SEO omvat illegale methoden zoals keyword stuffing, link farming en het verbergen van schadelijke inhoud. Hierdoor vergroten cybercriminelen de zichtbaarheid van gevaarlijke websites en leiden ze nietsvermoedende gebruikers naar risicovolle pagina’s.
PlugX en BadIIS
DragonRank infiltreert bedrijfswebapplicaties en plaatst een webshell, waarmee ze controle over servers verwerven om malware te installeren. De hackersgroep maakt vooral gebruik van PlugX- en BadIIS-malware en verschillende tools om inloggegevens te verzamelen en gebruikersaccounts te klonen.
PlugX fungeert als een geavanceerde backdoor die veel door Chinese actoren wordt ingezet. Het maakt gebruik van technieken zoals DLL-sideloading en Windows Structured Exception Handling (SEH) om malware ongemerkt te laden, wat detectie door beveiligingssoftware bemoeilijkt. BadIIS richt zich specifiek op IIS-servers en past SEO-structuren aan door HTTP-reacties voor zoekmachinecrawlers te manipuleren. Dit stelt cybercriminelen in staat om schadelijke websites via zoekmachines te promoten en zoekresultaten te vervalsen.
“DragonRank vormt een ernstige bedreiging voor de betrouwbaarheid van online zoekresultaten en ondermijnt tegelijkertijd de beveiliging van bedrijfsidentiteiten,” aldus Jan Heijdra, Field CTO Security bij Cisco Nederland. “Door geavanceerde SEO-manipulatietechnieken te gebruiken, kunnen cybercriminelen de zichtbaarheid van malafide websites verhogen en toegang krijgen tot gevoelige bedrijfsinformatie. Dit benadrukt hoe essentieel identity security is voor een strategische en proactieve aanpak van cybersecurity.”