UAT-8099 SEO кампания за измами
Изследователи по киберсигурност наскоро разкриха китайскоговоряща група за киберпрестъпления с кодово име UAT-8099, отговорна за сложни атаки, насочени към сървърите на Microsoft Internet Information Services (IIS). Тази група се занимава с измами, свързани с оптимизация за търсачки (SEO), и кражба на ценни идентификационни данни, конфигурационни файлове и данни за сертификати, което представлява значителен риск за организациите по целия свят.
Съдържание
Глобален обхват и целеви профил
Активността на групата е наблюдавана предимно в Индия, Тайланд, Виетнам, Канада и Бразилия, като е засегнала университети, технологични фирми и телекомуникационни доставчици. Засечени за първи път през април 2025 г., атаките на UAT-8099 са насочени главно към мобилни потребители, обхващащи както Android, така и iOS устройства.
Този участник е част от нарастваща вълна от свързани с Китай клъстери от заплахи, занимаващи се с SEO измами. За контекст, скорошна кампания от друг участник, GhostRedirector, компрометира най-малко 65 Windows сървъра, използвайки злонамерен IIS модул с кодово име Gamshen, насочен към подобни региони.
Методи за атака и първоначален достъп
UAT-8099 внимателно подбира висококачествени IIS сървъри в целевите региони и използва уязвимости в сигурността или слаби конфигурации за качване на файлове. Подходът им включва:
- Качване на уеб шелове за събиране на системна информация.
- Повишаване на привилегиите чрез гост акаунта, достигайки достъп на администраторско ниво.
- Активиране на протокола за отдалечен работен плот (RDP) за непрекъснат достъп.
Групата също така предприема стъпки за осигуряване на първоначалната опора, предотвратявайки компрометирането на същите сървъри от други злонамерени лица. Cobalt Strike се използва като основна задна врата за дейности след експлоатация.
Устойчивост и внедряване на зловреден софтуер
За да поддържа дългосрочен контрол, UAT-8099 комбинира RDP с VPN инструменти като SoftEther VPN, EasyTier и Fast Reverse Proxy (FRP). Веригата от атаки завършва с инсталирането на зловреден софтуер BadIIS, инструмент, използван от множество китайскоговорящи клъстери, включително DragonRank и Operation Rewrite (CL-UNK-1037).
Веднъж проникнал вътре, злонамереният играч използва инструменти с графичен потребителски интерфейс, като Everything, за да локализира и извлече ценни данни за препродажба или по-нататъшна експлоатация. Точният брой на компрометираните сървъри остава неизвестен.
Зловреден софтуер BadIIS: Режими и функционалност
Разгърнатият вариант на BadIIS е специално модифициран, за да избегне антивирусното откриване и отразява функционалността на Gamshen. SEO манипулацията му се активира само когато заявките идват от Googlebot. BadIIS работи в три основни режима:
Прокси режим : Извлича кодирани C2 сървърни адреси и ги използва като прокси за извличане на съдържание от вторични сървъри.
Режим на инжектор : Прихваща заявки на браузъра от резултатите от търсенето с Google, извлича JavaScript от C2 сървъра, вгражда го в HTML отговора и пренасочва потребителите към неоторизирани сайтове или реклами.
Режим на SEO измама : Компрометира множество IIS сървъри, за да повиши изкуствено класирането в търсачките, използвайки обратни връзки.
SEO измами и тактики за обратни връзки
UAT-8099 използва обратни връзки, стандартна SEO стратегия, за да увеличи видимостта на уебсайта. Google оценява обратните връзки, за да открива нови страници и да измерва релевантността на ключовите думи. Докато повече обратни връзки могат да подобрят класирането, нискокачествените или изкуствените обратни връзки могат да доведат до санкции от Google.
Чрез комбиниране на внедряване на зловреден софтуер, използване на уеб обвивка и стратегическо обратно свързване, UAT-8099 е в състояние да манипулира резултатите от търсенето и ефективно да монетизира компрометираните сървъри, което ги прави високорисков участник в пейзажа на SEO измами.
