Cisco Talos ontdekt SEO-manipulatie
Cisco Talos heeft een nieuwe dreiging geïdentificeerd, genaamd ‘DragonRank’. Deze Chinese hackersgroep manipuleert zoekmachineresultaten (SEO) via het compromitteren van IIS-servers (Internet Information Services) in zowel Nederland als in Azië en andere delen van Europa.
De groep past geavanceerde SEO-manipulatietechnieken toe, ook wel bekend als black hat SEO, om kwaadaardige websites hoger in zoekresultaten te plaatsen. Black hat SEO omvat illegale methoden die zoekmachines manipuleren door middel van technieken zoals keyword stuffing, link farming en het verbergen van schadelijke inhoud. Hierdoor kunnen cybercriminelen de zichtbaarheid van gevaarlijke websites vergroten en nietsvermoedende gebruikers naar risicovolle pagina’s te leiden.
DragonRank breekt in op webapplicaties van bedrijven en plaatst een webshell, waarmee ze de controle over servers krijgen om malware te installeren. De hackersgroep maakt met name gebruik van de PlugX- en BadIIS-malware en zet daarnaast diverse tools in voor het verzamelen van inloggevens en het klonen van gebruikersaccounts.
PlugX is een geavanceerde backdoor, die veel gebruikt wordt door Chinese actoren. Het maakt gebruik van technieken zoals DLL-sideloading en Windows Structured Exception Handling (SEH) om malware ongemerkt te laden, waardoor detectie door securitysoftware moeilijk wordt. BadIIS richt zich specifiek op IIS-servers en manipuleert SEO-structuren door HTTP-reacties voor zoekmachine-crawlers te wijzigen. Hierdoor kunnen cybercriminelen schadelijke websites via zoekmachines promoten en zoekresultaten vervalsen.
“DragonRank vormt een ernstige bedreiging voor de betrouwbaarheid van online zoekresultaten en ondermijnt tegelijkertijd de beveiliging van bedrijfsidentiteiten,” aldus Jan Heijdra, Field CTO Security bij Cisco Nederland. “Door geavanceerde SEO-manipulatietechnieken te gebruiken, kunnen cybercriminelen de zichtbaarheid van malafide websites verhogen en toegang krijgen tot gevoelige bedrijfsinformatie. Dit benadrukt hoe essentieel identity security is voor een strategische en proactieve aanpak van cybersecurity.”