최근 시스코 탈로스(Cisco Talos)는 중국어를 사용하는 공격자가 아시아와 유럽의 여러 국가를 대상으로 하는 블랙햇 SEO(검색 엔진 최적화) 조작 캠페인을 벌였다고 발표했다. 이 캠페인은 '드래곤랭크(DragonRank)'라는 코드명으로 불리며, 피해국으로는 한국을 비롯해 태국, 인도, 벨기에, 네덜란드, 중국 등이 포함되었다.
이 공격자들은 웹 애플리케이션 서비스의 취약점을 이용해 ASPXspy 웹셸을 배포한 후 시스템 정보를 수집하고, PlugX와 BadIIS 같은 악성코드를 실행하며 다양한 인증 정보 탈취 유틸리티를 동원했다. 시스코 탈로스의 보안 연구원 조이 첸(Joey Chen)은 이번 공격이 최소 35대의 IIS(인터넷 정보 서비스) 서버를 침해했으며, 그 목적은 최종적으로 BadIIS 악성코드를 배포하는 것이라고 밝혔다.
BadIIS는 단순한 악성코드가 아닌, 공격자가 제어하는 IIS 서버를 프록시 역할을 하도록 만들어 다른 사이버 범죄자들이 악의적인 통신을 주고받을 수 있게 한다. 또한, 이 악성코드는 검색 엔진 알고리즘을 조작해 특정 웹사이트의 순위를 인위적으로 올리거나 내리는 데 사용된다.
보안 연구원 주자나 흐롬코바(Zuzana Hromcova)는 이 캠페인에서 IIS 서버가 얼마나 다양하게 악용되는지, 그리고 SEO 사기 범죄 계획이 얼마나 치밀하게 구성되었는지를 강조하며, 이는 특히 제3자 웹사이트의 평판을 조작하는 데 악용되었다고 설명했다.
이 공격은 매우 다양한 산업을 겨냥했다. 보석, 미디어, 연구 서비스, 의료, 영상 및 TV 제작, 제조업, 교통, 종교 및 영적 단체, IT 서비스, 국제 관계, 농업, 스포츠 등 광범위한 업계가 표적이 되었다.
이번 공격의 주요 목표는 기업 웹사이트를 호스팅하는 IIS 서버를 감염시키고, 이를 악성코드 배포 및 사기 행위의 발판으로 삼는 것이다. 이 공격자는 특히 성인물과 같은 키워드를 활용해 검색 엔진 순위를 조작하고, 웹셸을 통해 보조 도구를 피해자의 환경에 주입했다. 이 외에도 구글의 검색 엔진 크롤러로 위장하여 보안 시스템을 우회하는 기능도 포함되어 있다.
조이 첸은 "이 위협 행위자는 검색 엔진 알고리즘을 악용해 웹사이트 순위를 조작하며, 이를 통해 악성 웹사이트로의 트래픽을 유도하거나 경쟁자의 순위를 인위적으로 떨어뜨리는 행위를 한다"고 설명했다.
드래곤랭크는 다른 블랙햇 SEO 그룹과는 다르게 추가 서버에 대한 침투를 시도하며, 이를 장기간 제어하는 전략을 취하고 있다. 이를 위해 PlugX라는 백도어를 사용하며, Mimikatz, PrintNotifyPotato, BadPotato, GodPotato와 같은 다양한 인증 정보 탈취 도구를 동원했다. PlugX는 DLL 사이드 로딩 기법을 활용해 악성코드 탐지를 우회하며, 윈도우 구조적 예외 처리(SEH) 메커니즘을 사용해 악성 활동을 숨기는 데 성공했다.
시스코 탈로스는 드래곤랭크가 텔레그램과 QQ와 같은 메신저 앱을 통해 불법 비즈니스 거래를 진행하고 있으며, 'tttseo'라는 핸들을 사용해 고객과 소통하는 흔적을 발견했다. 드래곤랭크는 고객의 요구에 맞춰 키워드와 웹사이트를 홍보하는 맞춤형 전략을 제공하며, 특정 국가와 언어를 타겟팅해 더욱 정교한 온라인 마케팅을 실행하고 있어 각별한 주의가 필요하다.