DragonRank黑客利用全球Windows服务器进行SEO欺诈

一个名为“DragonRank”的中文黑客组织被发现入侵了全球 30 多台 Windows 服务器，其中包括泰国、印度、韩国、比利时、荷兰和中国。

该组织的主要目标是操纵搜索引擎爬虫并破坏受影响网站的搜索引擎优化（SEO），最终将诈骗网站分发给毫无戒心的用户。

DragonRank 在 Google 上的一个广告网站受到恶意软件的困扰

攻击如何进行

DragonRank 黑客组织通过利用 Web 应用服务（例如 phpMyAdmin、WordPress 或类似的 Web 应用）中的漏洞，获得了对 Windows Internet Information Services (IIS) 服务器的初始访问权限。一旦他们获得了在目标网站上执行远程代码或上传文件的能力，他们就会部署类似ASPXspy 的Web shell ，从而获得对受感染服务器的控制权。

根据思科 Talos 在周二发布之前与 Hackread.com 分享的长篇技术报告，该组织随后利用 Web Shell 收集系统信息并启动恶意软件，包括 PlugX 和 BadIIS，以及凭证收集实用程序，如Mimikatz、PrintNotifyPotato、BadPotato和GodPotato。他们还通过部署 Web Shell 或利用获取的凭证利用远程桌面登录来入侵目标网络中的其他 Windows IIS 服务器。

PlugX 是一款著名的 RAT（远程访问工具），配备模块化插件和属性配置，由各种讲中文的网络威胁行为者部署了十多年。此活动中的 PlugX 配置包含正确运行可执行文件所需的所有值和信息。

另一方面，BadIIS 是一种用于操纵搜索引擎爬虫和超链接跳转的恶意软件。此次活动中检测到的 BadIIS 版本与Black Hat USA 2021 上提到的版本(PDF) 具有相似的特征，包括配置为 IIS 代理和 SEO 欺诈功能。

有趣的是，研究人员还指出，DragonRank 的运营方式很像一家企业，其商业网站提供中英文服务。他们通过 Telegram 和 QQ 等平台与客户互动，提供量身定制的SEO 欺诈服务。他们的商业模式包括对交易确认的警告，表明他们的专业水平在典型的网络犯罪集团中并不常见。

尽管如此，DragonRank黑客组织的活动对网络安全构成了威胁，因为他们可以将流量引导至恶意网站，增加欺诈内容的可见性，或通过人为提高或降低排名来扰乱竞争对手。

这些攻击可能会损害公司的在线形象，导致财务损失，并通过将品牌与欺骗性或有害行为联系起来而损害其声誉。因此，企业和 IT 部门必须：

• 使用高级威胁检测： 实施可以检测和应对 PlugX 等复杂恶意软件的解决方案。
• 定期更新安全措施： 确保所有系统（尤其是 Web 服务器）都已修补已知漏洞。
• 监控网络流量： 查找异常的出站连接或服务器行为的变化，这些变化可能表明存在像 BadIIS 这样的恶意软件。
• 安全培训： 对网络威胁的意识培训有助于及早发现网络钓鱼或其他社会工程攻击。