Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Προηγμένη επίμονη απειλή (APT) UAT-8099 Εκστρατεία απάτης SEO

UAT-8099 Εκστρατεία απάτης SEO

Μέχρι το Mezo το Προηγμένη επίμονη απειλή (APT), Κακόβουλο λογισμικό
Μετάφραση σε:

Ερευνητές στον τομέα της κυβερνοασφάλειας αποκάλυψαν πρόσφατα μια κινέζικη ομάδα κυβερνοεγκλήματος με την κωδική ονομασία UAT-8099, η οποία είναι υπεύθυνη για εξελιγμένες επιθέσεις που στοχεύουν διακομιστές των Microsoft Internet Information Services (IIS). Αυτή η ομάδα εμπλέκεται σε απάτες βελτιστοποίησης μηχανών αναζήτησης (SEO) και σε κλοπή διαπιστευτηρίων υψηλής αξίας, αρχείων διαμόρφωσης και δεδομένων πιστοποιητικών, θέτοντας σημαντικούς κινδύνους για οργανισμούς παγκοσμίως.

Παγκόσμια Εμβέλεια και Προφίλ Στόχου

Η δραστηριότητα της ομάδας έχει παρατηρηθεί κυρίως στην Ινδία, την Ταϊλάνδη, το Βιετνάμ, τον Καναδά και τη Βραζιλία, επηρεάζοντας πανεπιστήμια, εταιρείες τεχνολογίας και παρόχους τηλεπικοινωνιών. Οι επιθέσεις του UAT-8099, που εντοπίστηκαν για πρώτη φορά τον Απρίλιο του 2025, επικεντρώνονται κυρίως σε χρήστες κινητών τηλεφώνων, καλύπτοντας συσκευές Android και iOS.

Αυτός ο δράστης αποτελεί μέρος ενός αυξανόμενου κύματος συστοιχιών απειλών που συνδέονται με την Κίνα και εμπλέκονται σε απάτες SEO. Για να διευκρινίσουμε, μια πρόσφατη εκστρατεία από έναν άλλο δράστη, τον GhostRedirector, έθεσε σε κίνδυνο τουλάχιστον 65 διακομιστές Windows χρησιμοποιώντας μια κακόβουλη μονάδα IIS με την κωδική ονομασία Gamshen, στοχεύοντας σε παρόμοιες περιοχές.

Μέθοδοι επίθεσης και αρχική πρόσβαση

Το UAT-8099 επιλέγει προσεκτικά διακομιστές IIS υψηλής αξίας σε στοχευμένες περιοχές και εκμεταλλεύεται τρωτά σημεία ασφαλείας ή αδύναμες διαμορφώσεις μεταφόρτωσης αρχείων. Η προσέγγισή τους περιλαμβάνει:

  • Μεταφόρτωση κελυφών ιστού για τη συλλογή πληροφοριών συστήματος.
  • Κλιμάκωση προνομίων μέσω του λογαριασμού επισκέπτη, επίτευξη πρόσβασης σε επίπεδο διαχειριστή.
  • Ενεργοποίηση του πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας (RDP) για συνεχή πρόσβαση.

Η ομάδα λαμβάνει επίσης μέτρα για να εξασφαλίσει την αρχική της θέση, εμποδίζοντας άλλους απειλητικούς παράγοντες να θέσουν σε κίνδυνο τους ίδιους διακομιστές. Το Cobalt Strike αναπτύσσεται ως η κύρια κερκόπορτα για δραστηριότητες μετά την εκμετάλλευση.

Επιμονή και ανάπτυξη κακόβουλου λογισμικού

Για να διατηρήσει τον μακροπρόθεσμο έλεγχο, το UAT-8099 συνδυάζει το RDP με εργαλεία VPN όπως το SoftEther VPN, το EasyTier και το Fast Reverse Proxy (FRP). Η αλυσίδα επίθεσης κορυφώνεται με την εγκατάσταση του κακόβουλου λογισμικού BadIIS, ενός εργαλείου που χρησιμοποιείται από πολλά κινέζικα ομιλούντα clusters, συμπεριλαμβανομένων των DragonRank και Operation Rewrite (CL-UNK-1037).

Μόλις εισέλθει στο εσωτερικό, ο δράστης χρησιμοποιεί εργαλεία GUI όπως το Everything για να εντοπίσει και να εξαγάγει πολύτιμα δεδομένα για μεταπώληση ή περαιτέρω εκμετάλλευση. Ο ακριβής αριθμός των παραβιασμένων διακομιστών παραμένει άγνωστος.

Το κακόβουλο λογισμικό BadIIS: Λειτουργίες και λειτουργικότητα

Η παραλλαγή του BadIIS που έχει αναπτυχθεί έχει τροποποιηθεί ειδικά για να αποφεύγει την ανίχνευση από ιούς και αντικατοπτρίζει τη λειτουργικότητα του Gamshen. Ο χειρισμός SEO ενεργοποιείται μόνο όταν τα αιτήματα προέρχονται από το Googlebot. Το BadIIS λειτουργεί σε τρεις κύριες λειτουργίες:

Λειτουργία Proxy : Εξάγει κωδικοποιημένες διευθύνσεις διακομιστή C2 και τις χρησιμοποιεί ως proxy για την ανάκτηση περιεχομένου από δευτερεύοντες διακομιστές.

Λειτουργία Injector : Αναχαιτίζει αιτήματα του προγράμματος περιήγησης από τα αποτελέσματα αναζήτησης της Google, ανακτά JavaScript από τον διακομιστή C2, την ενσωματώνει στην απόκριση HTML και ανακατευθύνει τους χρήστες σε μη εξουσιοδοτημένους ιστότοπους ή διαφημίσεις.

Λειτουργία απάτης SEO : Παραβιάζει πολλαπλούς διακομιστές IIS για να ενισχύσει τεχνητά την κατάταξη στις μηχανές αναζήτησης χρησιμοποιώντας backlinks.

Απάτη SEO και τακτικές Backlinking

Το UAT-8099 χρησιμοποιεί backlinks, μια τυπική στρατηγική SEO, για την αύξηση της προβολής του ιστότοπου. Η Google αξιολογεί backlinks για να ανακαλύψει νέες σελίδες και να μετρήσει τη συνάφεια των λέξεων-κλειδιών. Ενώ περισσότερα backlinks μπορούν να βελτιώσουν την κατάταξη, τα κακής ποιότητας ή τα τεχνητά backlinks μπορούν να προκαλέσουν κυρώσεις από την Google.

Συνδυάζοντας την ανάπτυξη κακόβουλου λογισμικού, τη χρήση web shell και το στρατηγικό backlinking, το UAT-8099 είναι σε θέση να χειραγωγεί τα αποτελέσματα αναζήτησης και να δημιουργεί έσοδα από παραβιασμένους διακομιστές αποτελεσματικά, καθιστώντας το έναν παράγοντα υψηλού κινδύνου στο τοπίο της απάτης SEO.

Τάσεις

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
34,140
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...