Virtual-IT.pl - data center cloud computing SDx AI storage network cybersecurity
Najlepsze kursy internetowe w kategorii IT i oprogramowanie

12 najczęstszych błędów konfiguracji UTM-ów i jak ich unikać
12 najczęstszych błędów konfiguracji UTM-ów i jak ich unikać

Rozwiązania klasy UTM (Unified Threat Management) to zaawansowane narzędzia zabezpieczające brzeg sieci. Urządzenia o tyle ważne, że pozostają pierwszą i najważniejszą barierą ochronną przed zagrożeniami. Aby sprostać specyficznym potrzebom administracji publicznej (obejmującym ochronę danych wrażliwych, zapobieganie z...

Czytaj więcej...

Ukryte oprogramowanie na nowym sprzęcie - jak się go pozbyć?
Ukryte oprogramowanie na nowym sprzęcie - jak się go pozbyć?

Użytkownikom laptopów czy smartfonów zdarza się zauważyć, że po uruchomieniu nowego sprzętu od innego producenta pojawiają się na nim aplikacje, których nie było na poprzednim. Dzieje się tak mimo tego, że urządzenia pracują na tym samym systemie operacyjnym. Większość producentów preinstalu...

Czytaj więcej...

FRITZ!Smart Gateway - Twoja brama do inteligentnego domu
FRITZ!Smart Gateway - Twoja brama do inteligentnego domu

Dzięki uprzejmości firmy AVM w nasze ręce trafiło kolejne urządzenie marki FRITZ! Tym razem po raz pierwszy mieliśmy okazję przetestować produkt z ekosystemu FRITZ! Smart Home - bramkę FRITZ!Smart Gateway, wprowadzoną na rynek polski w marcu bieżącego roku. Urządzenie rozszerza ekosystem inteligentnego domu od AVM o ob...

Czytaj więcej...

VMware Tanzu Platform 10
VMware Tanzu Platform 10

Podczas konferencji VMware Explore 2024, firma Broadcom ogłosiła wprowadzenie VMware Tanzu Platform 10, platformy aplikacyjnej zbudowanej w oparciu o technologie chmurowe, która przyspiesza dostarczanie oprogramowania, zapewniając zespołom inżynierów lepsze zarządzanie i efektywność operacyjną, a jednocze...

Czytaj więcej...

Aż 95% firm obawia się o bezpieczeństwo w chmurze publicznej
Aż 95% firm obawia się o bezpieczeństwo w chmurze publicznej

Jak wynika z opublikowanego przez Fortinet dokumentu „2023 Cloud Security Report”, w chmurze publicznej znajduje się już ponad połowa danych prawie 40% ankietowanych przedsiębiorstw. W ciągu najbliższych 12-18 miesięcy odsetek tych firm zwiększy się do 58%, co spowoduje, że wyzwań związanych z zabezpieczani...

Czytaj więcej...

Dlaczego warto wybrać Endpoint Central do zarządzania przedsiębiorstwem?
Dlaczego warto wybrać Endpoint Central do zarządzania przedsiębiorstwem?

Stworzony w 2005 roku, Endpoint Central (wcześniej znany jako Desktop Central) miał na celu zrewolucjonizowanie sposobu, w jaki firmy zarządzają swoim IT. Przez prawie dwie dekady rozwijał się wraz z dynamicznie zmieniającymi się potrzebami nowoczesnych przedsiębiorstw. Jest dowodem na siłę nieustannej innowacji, oferu...

Czytaj więcej...

Aktualności

Hakerzy z Chin manipulują wynikami wyszukiwarek internetowych

Cisco Talos DragonrankZespół Cisco Talos wykrył działalność grupy hakerów DragonRank, która wykorzystuje zaawansowane techniki malware oraz narzędzia z zakresu black hat SEO, w celu manipulowania wynikami wyszukiwarek internetowych. DragonRank wykorzystuje usługi aplikacji internetowych ofiar do wdrożenia powłoki systemowej, a następnie używa jej do zbierania informacji o systemie i uruchamiania złośliwego oprogramowania, takiego jak PlugX i BadIIS, uruchamiając różne narzędzia do zbierania danych uwierzytelniających. Ich PlugX nie tylko korzysta ze znanych technik bocznego ładowania (DLL), ale również wykorzystuje protokół SEH, który zapewnia, że prawidłowy plik może załadować oprogramowanie bez wzbudzania podejrzeń.

Badacze z Cisco Talos potwierdzili, że ponad 35 serwerów IIS zostało naruszonych, w wyniku czego złośliwe oprogramowanie zostało zaimplementowane w różnych regionach geograficznych, w tym w Tajlandii, Indiach, Korei, Belgii, Holandii i Chinach.

Nowy gracz na rynku
Jednym z głównych elementów działań grupy jest black hat SEO, czyli działania optymalizujące stronę internetową z wykorzystaniem nieuczciwych praktyk. DragonRank fałszują algorytmy wyszukiwarek, poprzez manipulowanie słowami kluczowymi, w celu zwiększenia widoczności stron. Dzięki temu kierują ruch użytkownika na strony przez nich zainfekowane, które często zawierają szkodliwe treści, jak np. pornografię.

Według Cisco Talos, DragonRank jest stosunkowo nowy w branży black hat SEO, wcześniej specjalizując się w ukierunkowanych atakach oraz testach penetracyjnych. W tej kampanii przestępcy naruszają serwery poprzez wykorzystywanie luk w aplikacjach internetowych, takich jak phpMyAdmin czy WordPress. Kiedy uzyskują dostęp do serwera, wdrażają powłokę internetową, co umożliwia im kontrolę nad systemem i dalsze eskalacje działań.

Metody działania
DragonRank wyróżnia się na tle innych grup hakerskich swoją strategią. Tradycyjnie grupy black hat SEO starają się przejmować jak najwięcej serwerów w celu manipulowania wynikami wyszukiwarek, natomiast DragonRank kładzie nacisk na tzw. ruch boczny i eskalację uprawnień w sieciach docelowych. Ich głównym celem jest infiltracja dodatkowych serwerów w sieci i utrzymanie nad nimi kontroli.

Grupa DragonRank łączy działania SEO z wykorzystaniem złośliwego oprogramowania. W kampanii używa dwóch głównych narzędzi: PlugX i BadIIS. PlugX to złośliwe oprogramowanie typu backdoor, które pozwala hakerom na zdalny dostęp i kontrolę nad zainfekowanym systemem. Poza tym używają technik DLL, aby jak najlepiej zakamuflować swoje działania i zminimalizować ryzyko wykrycia. Wykorzystanie PlugX umożliwia hakerom manipulowanie systemem i dalszą eskalację działań, takich jak zbieranie danych systemowych i poświadczeń przy użyciu narzędzi takich jak Mimikatz.

Cisco Talos namierzyło stronę internetową oraz konta do komunikowania się, dzięki czemu udało się ustalić, że hakerzy posługują się językiem chińskim. Co więcej, według informacji podanych na Telegramie, istnieje duże prawdopodobieństwo, że grupa zlokalizowana jest w Tajlandii, a język chiński, którym się posługują może wskazywać na ich powiązania z chińskimi grupami cyberprzestępczymi. Może o tym świadczyć fakt, że złośliwe oprogramowanie, które tak często wykorzystują w swojej działalności jest powszechnie stosowane przez chińskie grupy hakerskie.

Z kolei złośliwe oprogramowanie BadIIS służy do manipulowania robotami wyszukiwarek i hiperłączami, co pozwala DragonRank na oszukiwanie wyników wyszukiwania i sztuczne podwyższanie lub obniżanie rankingów stron. Zainfekowane serwery IIS są używane jako serwery proxy, które umożliwiają komunikację między zainfekowanymi hostami a serwerami dowodzenia i kontroli (C2). Dzięki temu DragonRank może efektywnie manipulować wynikami wyszukiwarek, promując treści swoich klientów lub niszcząc reputację konkurencyjnych stron.

(Nie)groźny marketing
DragonRank prowadzi również działalność komercyjną oferując usługi white hat SEO. Grupa promuje swoje usługi na platformach takich jak Telegram i QQ, co pozwala klientom na kontakt i przeprowadzanie nielegalnych transakcji. Oferują pozornie wysokiej jakości spersonalizowaną obsługę klienta, ponieważ klienci mogą dostarczać słowa kluczowe i strony, które chcą promować, a DragonRank opracowuje strategię dostosowaną do ich potrzeb. Grupa wyróżnia się personalizowanym podejściem, oferując szeroki wachlarz usług z zakresu zarówno black hat jak i white hat SEO, oferując usługi marketingowe dostosowane do konkretnych rynków.

Grupa DragonRank łączy złośliwe oprogramowanie z nielegalnymi działaniami marketingowymi, co czyni ich działalność szczególnie groźną. Ich działania mają na celu zarówno promowanie fałszywych treści, jak i prowadzenie szkodliwych działań SEO, co stanowi poważne zagrożenie dla firm i użytkowników Internetu.

Źródło: Cisco

Logowanie i rejestracja