UAT-8099 SEO-svindelkampagne
Cybersikkerhedsforskere har for nylig afsløret en kinesisktalende cyberkriminalitetsgruppe med kodenavnet UAT-8099, der er ansvarlig for sofistikerede angreb rettet mod Microsoft Internet Information Services (IIS)-servere. Denne gruppe beskæftiger sig med søgemaskineoptimeringssvindel (SEO) og tyveri af værdifulde legitimationsoplysninger, konfigurationsfiler og certifikatdata, hvilket udgør en betydelig risiko for organisationer verden over.
Indholdsfortegnelse
Global rækkevidde og målprofil
Gruppens aktivitet er primært observeret i Indien, Thailand, Vietnam, Canada og Brasilien, og har påvirket universiteter, tech-virksomheder og teleudbydere. UAT-8099's angreb, der først blev opdaget i april 2025, fokuserer primært på mobilbrugere og dækker både Android- og iOS-enheder.
Denne aktør er en del af en voksende bølge af trusselsgrupper med tilknytning til Kina, der beskæftiger sig med SEO-svindel. For at give kontekst, kompromitterede en nylig kampagne fra en anden aktør, GhostRedirector, mindst 65 Windows-servere ved hjælp af et ondsindet IIS-modul med kodenavnet Gamshen, der var rettet mod lignende regioner.
Angrebsmetoder og initial adgang
UAT-8099 udvælger omhyggeligt værdifulde IIS-servere i målområder og udnytter sikkerhedssårbarheder eller svage filuploadkonfigurationer. Deres tilgang involverer:
- Uploader web shells for at indsamle systemoplysninger.
- Eskalering af privilegier via gæstekontoen, opnåelse af adgang på administratorniveau.
- Aktiverer Remote Desktop Protocol (RDP) for fortsat adgang.
Gruppen tager også skridt til at sikre det indledende fodfæste og forhindre andre trusselsaktører i at kompromittere de samme servere. Cobalt Strike anvendes som den primære bagdør til aktivitet efter udnyttelse.
Persistens og malware-implementering
For at opretholde langsigtet kontrol kombinerer UAT-8099 RDP med VPN-værktøjer som SoftEther VPN, EasyTier og Fast Reverse Proxy (FRP). Angrebskæden kulminerer med installationen af BadIIS-malware, et værktøj der bruges af flere kinesisktalende klynger, herunder DragonRank og Operation Rewrite (CL-UNK-1037).
Når aktøren er inde, bruger han GUI-værktøjer som Everything til at finde og udvinde værdifulde data til videresalg eller yderligere udnyttelse. Det nøjagtige antal kompromitterede servere er fortsat ukendt.
BadIIS Malware: Tilstande og funktionalitet
Den implementerede BadIIS-variant er blevet specifikt modificeret for at undgå antivirusdetektion og afspejler Gamshens funktionalitet. Dens SEO-manipulation aktiveres kun, når anmodninger stammer fra Googlebot. BadIIS fungerer i tre hovedtilstande:
Proxy-tilstand : Udtrækker kodede C2-serveradresser og bruger dem som proxyer til at hente indhold fra sekundære servere.
Injektortilstand : Opfanger browseranmodninger fra Googles søgeresultater, henter JavaScript fra C2-serveren, integrerer det i HTML-svaret og omdirigerer brugere til uautoriserede websteder eller annoncer.
SEO-svindeltilstand : Kompromitterer flere IIS-servere for kunstigt at forbedre søgemaskineplaceringer ved hjælp af backlinks.
SEO-svindel og backlink-taktikker
UAT-8099 anvender backlinking, en standard SEO-strategi, til at øge et websteds synlighed. Google evaluerer backlinks for at opdage nye sider og måle søgeordsrelevans. Mens flere backlinks kan forbedre placeringer, kan backlinks af dårlig kvalitet eller kunstige links udløse sanktioner fra Google.
Ved at kombinere implementering af malware, brug af web shell og strategisk backlinking er UAT-8099 i stand til at manipulere søgeresultater og effektivt tjene penge på kompromitterede servere, hvilket gør dem til en højrisikoaktør i SEO-svindellandskabet.
