One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8574862 |
| Date de publication | 2024-09-11 21:48:57 (vue: 2024-09-11 22:18:16) |
| Titre | Dragonrank, un fournisseur de services de manipulateur de référencement chinois DragonRank, a Chinese-speaking SEO manipulator service provider |
| Texte | #### Géolocations ciblées - Thaïlande - Inde - Corée - Belgique - Pays-Bas - Chine ## Instantané Cisco Talos a découvert une nouvelle campagne de cyber-menaces nommée "Dragonrank", qui cible principalement les pays d'Asie et certains en Europe. ## Description TALOS évalue le groupe DragonRank est associé à des acteurs de langue chinois simplifiés, cible les serveurs Windows Internet Information Services (IIS) qui hébergent des sites Web d'entreprise.Leur objectif principal est d'implanter les logiciels malveillants de Badiis, qui manipulent des robots de recherche de moteurs de recherche pour perturber l'optimisation des moteurs de recherche (SEO) et rediriger le trafic vers des sites Web d'escroquerie.Les tactiques de Dragonrank \\ incluent des serveurs IIS compromis pour les transformer en plateformes pour des activités frauduleuses, en particulier les sites Web mettant en vedette des mots clés liés au porno et au sexe, qui sont traduits en plusieurs langues. Le groupe est fortement impliqué dans les pratiques de référencement du chapeau noir, la manipulation des algorithmes de moteur de recherche pour stimuler la visibilité pour un contenu frauduleux, nuire aux concurrents ou tromper les utilisateurs.Cela peut nuire à la réputation en ligne d'une entreprise et entraîner des pertes financières.Contrairement aux groupes de référencement typiques du chapeau noir qui compromettent autant de sites que possible, DragonRank se concentre sur le mouvement latéral dans un réseau, dégénérant des privilèges pour infiltrer et contrôler plus de serveurs. DragonRank exploite les vulnérabilités dans des applications Web comme PhpMyAdmin et WordPress pour obtenir un accès initial, déployer des shells Web (tels que [ASPXSPY] (https://attack.mitre.org/software/s0073/)) et prendre le contrôle par rapport aux serveurs.Ces shells Web leur permettent de collecter des informations système, de déploier des logiciels malveillants comme [Plugx] (https://security.microsoft.com/intel-profiles/028C39959555A4A710D67D5D4E9A5F067355BBC7AD58E5C (par exemple,[Mimikatz] (https://security.microsoft.com/intel-profiles/2dffdfcf7478886ee7de79237e5aeb52b0ab0cd350f1003a12064c7da2a4f1cb) et badpatato).Le groupe compromet en outre des serveurs Windows IIS supplémentaires à l'aide de shells Web ou de protocole de bureau à distance (RDP) avec des informations d'identification volées.Ils utilisent ces serveurs compromis pour installer plus de logiciels malveillants, maintenir la persistance et cloner les privilèges des utilisateurs pour maintenir un profil bas.Talos évalue l'approche de Dragonrank \\ indique un mélange de techniques d'attaques ciblées et de tests de pénétration, ce qui suggère qu'ils sont relativement nouveaux dans le domaine SEO du chapeau noir mais ont de l'expérience dans les cyber-intrusions. ## Analyse supplémentaire L'empoisonnement du référencement, également connu sous le nom d'intoxication des moteurs de recherche, est une technique utilisée par les acteurs de cyber-menaces pour manipuler les résultats des moteurs de recherche pour promouvoir des sites Web malveillants.Les acteurs de la menace peuvent utiliser des tactiques telles que la typosquat, les redirections et le placement stratégique des mots clés pour manipuler les algorithmes de moteur de recherche en classant un site malveillant comme digne de confiance et précieux pour les utilisateurs.Une fois qu'un utilisateur visite un site compromis, il peut être exposé à des logiciels malveillants, à des escroqueries à phishing ou à un autre contenu nocif conçu pour voler des informations sensibles ou obtenir un accès non autorisé aux systèmes.Cette tactique cible souvent les utilisateurs à la recherche de téléchargements de logiciels, de mises à jour d'actualités ou d'autres contenus populaires, tirant parti de la confiance que les utilisateurs placent dans les résultats de recherche de haut rang. Par exemple, en novembre |
| Notes | ★★★ |
| Envoyé | Oui |
| Condensat | ### #### **© 2023 2024 2024** 2147280206 about access activities activity actors additional ads algorithms all also analysis andbadiis another antivirus antivirus any applications approach approaches are asia aspxspy assesses associated attack attacks august backdoor:win32/plugx badiis badpotato belgium black blend boost browser but campaign campaigns can china chinese clone cms collect com/blog/seolurker com/dragon com/en com/intel company competitors components compromise compromised compromises compromising content control copyright corporate countries crawlers credential credentials crypto cryptocurrency cyber damage deceive defender deploy description designed desktop detailed detections/hunting detects discovered disrupt distribute distribution domain downloads dragonrank dubbed enable encyclopedia engine escalating europe example examples experience exploits exposed fake featuring financial focuses following fraudulent from further gain gambling geolocations ghostrat globally google government group groups hacktool:win32/mimikatz hacktool:win64/mimikatz harm harmful harvesting has hat have heavily high highlight host https://attack https://blog https://hunt https://security https://www hunt iis implant include india indicates infiltrate information initial install installers instance internet intrusions involved io/blog/seo joomla july keyword keywords known korea languages lateral lead leveraged leveraging like looking losses low maintain malicious malware malware/ malware: management manipulate manipulates manipulating manipulator many may microsoft mimikatz mitre more more#investing movement multiple name=hacktool:win32/mimikatz name=hacktool:win64/mimikatz&threatid= named netherlands network new news november objective occurred often once online optimization org/2024/08/14/ongoing org/software/s0073/ other over part particularly penetration permission persistence phishing phpmyadmin place placement platforms plugx poisoning poisoning/ popular porn poseidon possible practices primarily primary privileges profile profiles/028c3995955a4a710d67d5d4e9a5f067355bbc7ad58e5c5d1c1931e708e41b38 profiles/2dffdfcf7478886ee7de79237e5aeb52b0ab0cd350f1003a12064c7da2a4f1cb prohibited promote protocol provider queries query=backdoor:win32/plugx query=trojan:msil/plugx query=trojan:win32/plugx rank ranking rdp redirect redirected redirects references related relatively remote reproduction reputation researchers reserved results rights scam scams search securonix sensitive seo seo#lurker servers service services sex shells similarly simplified site sites snapshotcisco software some speaking spread spreading steal stolen strategic such suggesting system systems tactic tactics talos talosintelligence target targeted targets technique techniques testing thailand them thereof these they those threat threats tools traffic translated trojan:msil/plugx trojan:win32/plugx trojandropper:win32/plugx trust trustworthy turn typical typosquatting unauthorized uncovered unlike unsuspecting updates us/wdsi/threats/malware us/wdsi/threats/threat use used user users uses using valuable varied visibility visits vulnerabilities warned web websites websites/ when which windows winscp within without wordpress written xanda |
| Tags | Malware Tool Vulnerability Threat |
| Stories | |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.