UAT-8099 SEO pettuse kampaania
Küberjulgeoleku uurijad paljastasid hiljuti hiinakeelse küberkuritegevuse rühmituse koodnimega UAT-8099, mis vastutab keerukate rünnakute eest, mis on suunatud Microsoft Internet Information Services (IIS) serveritele. See rühmitus tegeleb otsingumootorite optimeerimise (SEO) pettuste ja väärtuslike volituste, konfiguratsioonifailide ja sertifikaadiandmete vargusega, kujutades endast märkimisväärset ohtu organisatsioonidele kogu maailmas.
Sisukord
Globaalne ulatus ja sihtrühma profiil
Grupi tegevust on peamiselt täheldatud Indias, Tais, Vietnamis, Kanadas ja Brasiilias, mõjutades ülikoole, tehnoloogiaettevõtteid ja telekommunikatsiooniteenuse pakkujaid. Esmakordselt 2025. aasta aprillis tuvastatud UAT-8099 rünnakud keskenduvad peamiselt mobiilikasutajatele, hõlmates nii Androidi kui ka iOS-i seadmeid.
See tegija on osa kasvavast Hiinaga seotud ohuklastrite lainest, mis tegeleb SEO-pettustega. Kontekstiks olgu öeldud, et teise tegija, GhostRedirectori, hiljutine kampaania rikkus vähemalt 65 Windowsi serverit, kasutades pahatahtlikku IIS-moodulit koodnimega Gamshen, mis on suunatud sarnastele piirkondadele.
Rünnakumeetodid ja esialgne juurdepääs
UAT-8099 valib hoolikalt sihtpiirkondades asuvaid väärtuslikke IIS-servereid ja kasutab ära turvaauke või nõrku failide üleslaadimise konfiguratsioone. Nende lähenemisviis hõlmab järgmist:
- Veebikestade üleslaadimine süsteemiteabe kogumiseks.
- Õiguste laiendamine külaliskonto kaudu, saavutades administraatori tasemel juurdepääsu.
- Jätkuva juurdepääsu tagamiseks lubatakse kaugtöölaua protokoll (RDP).
Samuti astub rühmitus samme esialgse jalgealuse kindlustamiseks, takistades teistel ohutegelastel samu servereid rikkumast. Cobalt Strike'i kasutatakse peamise tagauksena järeltegevuseks.
Püsivus ja pahavara juurutamine
Pikaajalise kontrolli säilitamiseks ühendab UAT-8099 RDP VPN-tööriistadega, nagu SoftEther VPN, EasyTier ja Fast Reverse Proxy (FRP). Rünnakuahel kulmineerub BadIIS-i pahavara installimisega, mida kasutavad mitmed hiinakeelsed klastrid, sealhulgas DragonRank ja Operation Rewrite (CL-UNK-1037).
Kui tegutseja on sees, kasutab ta väärtuslike andmete leidmiseks ja väljastamiseks edasimüügiks või edasiseks kasutamiseks graafilisi kasutajaliidese tööriistu, näiteks „Everything“. Täpne nakatunud serverite arv on teadmata.
BadIIS-i pahavara: režiimid ja funktsionaalsus
Kasutusele võetud BadIIS-i varianti on spetsiaalselt modifitseeritud viirusetõrje tuvastamise vältimiseks ja see peegeldab Gamsheni funktsionaalsust. Selle SEO-manipulatsioon aktiveerub ainult siis, kui päringud pärinevad Googlebotist. BadIIS töötab kolmes põhirežiimis:
Puhverserveri režiim : ekstraheerib kodeeritud C2-serveri aadressid ja kasutab neid puhverserverina sisu hankimiseks teisestest serveritest.
Injector Mode : Peatab Google'i otsingutulemustest pärit brauseripäringud, hangib C2-serverist JavaScripti, manustab selle HTML-vastusesse ja suunab kasutajad volitamata saitidele või reklaamidele.
SEO pettuse režiim : kahjustab mitut IIS-serverit, et otsingumootorite edetabelit kunstlikult tagasilinkide abil parandada.
SEO pettus ja tagasilinkimise taktika
UAT-8099 kasutab veebisaidi nähtavuse suurendamiseks standardset SEO strateegiat, mis on tagasilinkimine. Google hindab tagasilinke, et avastada uusi lehti ja mõõta märksõnade asjakohasust. Kuigi rohkem tagasilinke võib parandada edetabelit, võivad halva kvaliteediga või kunstlikud tagasilingid Google'ilt karistusi kaasa tuua.
Kombineerides pahavara juurutamise, veebikesta kasutamise ja strateegilise tagasilinkimise, suudab UAT-8099 manipuleerida otsingutulemustega ja teenida tõhusalt raha ohustatud serveritelt, muutes need SEO-pettuste maastikul kõrge riskiga osalejaks.
