UAT-8099 SEO জালিয়াতি প্রচারণা
সাইবার নিরাপত্তা গবেষকরা সম্প্রতি UAT-8099 কোডনামে একটি চীনা-ভাষী সাইবার অপরাধ গোষ্ঠীর সন্ধান পেয়েছেন, যারা মাইক্রোসফ্ট ইন্টারনেট ইনফরমেশন সার্ভিসেস (IIS) সার্ভারগুলিকে লক্ষ্য করে অত্যাধুনিক আক্রমণের জন্য দায়ী। এই গোষ্ঠীটি সার্চ ইঞ্জিন অপ্টিমাইজেশন (SEO) জালিয়াতি এবং উচ্চ-মূল্যের শংসাপত্র, কনফিগারেশন ফাইল এবং সার্টিফিকেট ডেটা চুরির সাথে জড়িত, যা বিশ্বব্যাপী সংস্থাগুলির জন্য উল্লেখযোগ্য ঝুঁকি তৈরি করে।
সুচিপত্র
বিশ্বব্যাপী পৌঁছানো এবং লক্ষ্য প্রোফাইল
এই গোষ্ঠীর কার্যকলাপ প্রাথমিকভাবে ভারত, থাইল্যান্ড, ভিয়েতনাম, কানাডা এবং ব্রাজিলে লক্ষ্য করা গেছে, যা বিশ্ববিদ্যালয়, প্রযুক্তি সংস্থা এবং টেলিকম প্রদানকারী প্রতিষ্ঠানগুলিকে প্রভাবিত করছে। ২০২৫ সালের এপ্রিলে প্রথম সনাক্ত করা হয়েছিল, UAT-8099 এর আক্রমণগুলি মূলত মোবাইল ব্যবহারকারীদের উপর দৃষ্টি নিবদ্ধ করে, যা অ্যান্ড্রয়েড এবং iOS উভয় ডিভাইসেই বিস্তৃত।
এই অভিনেতা চীন-সংযুক্ত হুমকি ক্লাস্টারের ক্রমবর্ধমান তরঙ্গের অংশ যারা SEO জালিয়াতির সাথে জড়িত। প্রেক্ষাপটের জন্য, আরেকজন অভিনেতা, GhostRedirector, এর সাম্প্রতিক একটি প্রচারণা, Gamshen কোডনামযুক্ত একটি ক্ষতিকারক IIS মডিউল ব্যবহার করে কমপক্ষে 65টি উইন্ডোজ সার্ভারের সাথে আপস করেছে, যা একই অঞ্চলগুলিকে লক্ষ্য করে।
আক্রমণ পদ্ধতি এবং প্রাথমিক প্রবেশাধিকার
UAT-8099 লক্ষ্য অঞ্চলে উচ্চ-মূল্যের IIS সার্ভারগুলি সাবধানতার সাথে নির্বাচন করে এবং সুরক্ষা দুর্বলতা বা দুর্বল ফাইল আপলোড কনফিগারেশনগুলিকে কাজে লাগায়। তাদের পদ্ধতির মধ্যে রয়েছে:
- সিস্টেম তথ্য সংগ্রহের জন্য ওয়েব শেল আপলোড করা হচ্ছে।
- অতিথি অ্যাকাউন্টের মাধ্যমে সুবিধা বৃদ্ধি করা, প্রশাসক-স্তরের অ্যাক্সেসে পৌঁছানো।
- অব্যাহত অ্যাক্সেসের জন্য রিমোট ডেস্কটপ প্রোটোকল (RDP) সক্ষম করা হচ্ছে।
এই গোষ্ঠীটি প্রাথমিক অবস্থান নিশ্চিত করার জন্যও পদক্ষেপ নেয়, যাতে অন্যান্য হুমকিদাতারা একই সার্ভারের সাথে আপস করতে না পারে। শোষণ-পরবর্তী কার্যকলাপের জন্য কোবাল্ট স্ট্রাইককে প্রাথমিক ব্যাকডোর হিসেবে মোতায়েন করা হয়।
স্থায়িত্ব এবং ম্যালওয়্যার স্থাপনা
দীর্ঘমেয়াদী নিয়ন্ত্রণ বজায় রাখার জন্য, UAT-8099 RDP-কে SoftEther VPN, EasyTier এবং Fast Reverse Proxy (FRP) এর মতো VPN টুলের সাথে একত্রিত করে। আক্রমণ শৃঙ্খলটি BadIIS ম্যালওয়্যার ইনস্টল করার মাধ্যমে শেষ হয়, যা DragonRank এবং Operation Rewrite (CL-UNK-1037) সহ একাধিক চীনা-ভাষী ক্লাস্টার দ্বারা ব্যবহৃত একটি টুল।
একবার ভেতরে ঢুকে পড়লে, অভিনেতা মূল্যবান তথ্য খুঁজে বের করতে এবং পুনঃবিক্রয় বা আরও শোষণের জন্য অপসারণ করতে সবকিছুর মতো GUI টুল ব্যবহার করেন। ক্ষতিগ্রস্ত সার্ভারের সঠিক সংখ্যা এখনও অজানা।
BadIIS ম্যালওয়্যার: মোড এবং কার্যকারিতা
মোতায়েন করা BadIIS ভেরিয়েন্টটি বিশেষভাবে অ্যান্টিভাইরাস সনাক্তকরণ এড়াতে পরিবর্তিত হয়েছে এবং Gamshen-এর কার্যকারিতা প্রতিফলিত করে। এর SEO ম্যানিপুলেশন শুধুমাত্র তখনই সক্রিয় হয় যখন Googlebot থেকে অনুরোধ আসে। BadIIS তিনটি প্রধান মোডে কাজ করে:
প্রক্সি মোড : এনকোডেড C2 সার্ভার ঠিকানাগুলি বের করে এবং সেকেন্ডারি সার্ভার থেকে কন্টেন্ট পুনরুদ্ধার করতে প্রক্সি হিসাবে ব্যবহার করে।
ইনজেক্টর মোড : গুগল সার্চ ফলাফল থেকে ব্রাউজারের অনুরোধ আটকে দেয়, C2 সার্ভার থেকে জাভাস্ক্রিপ্ট পুনরুদ্ধার করে, HTML প্রতিক্রিয়াতে এম্বেড করে এবং ব্যবহারকারীদের অননুমোদিত সাইট বা বিজ্ঞাপনে পুনঃনির্দেশিত করে।
SEO জালিয়াতি মোড : ব্যাকলিংক ব্যবহার করে কৃত্রিমভাবে সার্চ ইঞ্জিন র্যাঙ্কিং বাড়ানোর জন্য একাধিক IIS সার্ভারের সাথে আপস করে।
SEO জালিয়াতি এবং ব্যাকলিংকিং কৌশল
UAT-8099 ওয়েবসাইটের দৃশ্যমানতা বৃদ্ধির জন্য ব্যাকলিংকিং, একটি স্ট্যান্ডার্ড SEO কৌশল ব্যবহার করে। নতুন পৃষ্ঠা আবিষ্কার এবং কীওয়ার্ডের প্রাসঙ্গিকতা পরিমাপ করার জন্য গুগল ব্যাকলিংকগুলি মূল্যায়ন করে। যদিও আরও ব্যাকলিংক র্যাঙ্কিং উন্নত করতে পারে, নিম্নমানের বা কৃত্রিম ব্যাকলিংকগুলি গুগল থেকে জরিমানা ট্রিগার করতে পারে।
ম্যালওয়্যার স্থাপন, ওয়েব শেল ব্যবহার এবং কৌশলগত ব্যাকলিংকিংয়ের সমন্বয়ের মাধ্যমে, UAT-8099 অনুসন্ধান ফলাফলগুলি পরিচালনা করতে এবং আপোস করা সার্ভারগুলিকে কার্যকরভাবে নগদীকরণ করতে সক্ষম, যা তাদের SEO জালিয়াতির ক্ষেত্রে একটি উচ্চ-ঝুঁকিপূর্ণ অভিনেতা করে তোলে।
