کمپین کلاهبرداری سئو UAT-8099

محققان امنیت سایبری اخیراً یک گروه جرایم سایبری چینی‌زبان با نام رمز UAT-8099 را کشف کرده‌اند که مسئول حملات پیچیده‌ای است که سرورهای خدمات اطلاعات اینترنتی مایکروسافت (IIS) را هدف قرار می‌دهد. این گروه در کلاهبرداری بهینه‌سازی موتور جستجو (SEO) و سرقت اعتبارنامه‌های با ارزش بالا، فایل‌های پیکربندی و داده‌های گواهی‌نامه فعالیت می‌کند و خطرات قابل توجهی را برای سازمان‌های سراسر جهان ایجاد می‌کند.

دسترسی جهانی و مشخصات هدف

فعالیت این گروه عمدتاً در هند، تایلند، ویتنام، کانادا و برزیل مشاهده شده است و دانشگاه‌ها، شرکت‌های فناوری و ارائه دهندگان خدمات مخابراتی را تحت تأثیر قرار داده است. حملات UAT-8099 که اولین بار در آوریل 2025 شناسایی شد، عمدتاً بر کاربران تلفن همراه، شامل دستگاه‌های اندروید و iOS، متمرکز است.

این عامل بخشی از موج رو به رشد خوشه‌های تهدید مرتبط با چین است که در کلاهبرداری سئو فعالیت می‌کنند. برای درک بهتر، یک کمپین اخیر توسط عامل دیگری به نام GhostRedirector، حداقل ۶۵ سرور ویندوز را با استفاده از یک ماژول IIS مخرب با نام رمز Gamshen به خطر انداخت و مناطق مشابهی را هدف قرار داد.

روش‌های حمله و دسترسی اولیه

UAT-8099 با دقت سرورهای IIS با ارزش بالا را در مناطق هدف انتخاب می‌کند و از آسیب‌پذیری‌های امنیتی یا پیکربندی‌های ضعیف آپلود فایل سوءاستفاده می‌کند. رویکرد آنها شامل موارد زیر است:

• آپلود پوسته‌های وب برای جمع‌آوری اطلاعات سیستم.
• افزایش امتیازات از طریق حساب مهمان، رسیدن به دسترسی سطح مدیر.
• فعال کردن پروتکل ریموت دسکتاپ (RDP) برای دسترسی مداوم.

این گروه همچنین اقداماتی را برای ایمن‌سازی جایگاه اولیه انجام می‌دهد و از به خطر انداختن همان سرورها توسط سایر عوامل تهدید جلوگیری می‌کند. Cobalt Strike به عنوان در پشتی اصلی برای فعالیت‌های پس از بهره‌برداری مستقر شده است.

ماندگاری و استقرار بدافزار

برای حفظ کنترل بلندمدت، UAT-8099 پروتکل RDP را با ابزارهای VPN مانند SoftEther VPN، EasyTier و Fast Reverse Proxy (FRP) ترکیب می‌کند. زنجیره حمله با نصب بدافزار BadIIS به اوج خود می‌رسد، ابزاری که توسط چندین خوشه چینی از جمله DragonRank و Operation Rewrite (CL-UNK-1037) استفاده می‌شود.

پس از ورود، عامل نفوذ از ابزارهای رابط کاربری گرافیکی مانند Everything برای یافتن و استخراج داده‌های ارزشمند برای فروش مجدد یا بهره‌برداری بیشتر استفاده می‌کند. تعداد دقیق سرورهای آسیب‌دیده هنوز مشخص نیست.

بدافزار BadIIS: حالت ها و عملکرد

نوع BadIIS مستقر شده به طور خاص برای جلوگیری از شناسایی آنتی ویروس اصلاح شده است و عملکرد Gamshen را منعکس می‌کند. دستکاری سئوی آن فقط زمانی فعال می‌شود که درخواست‌ها از Googlebot سرچشمه بگیرند. BadIIS در سه حالت اصلی عمل می‌کند:

حالت پروکسی : آدرس‌های رمزگذاری‌شده‌ی سرور C2 را استخراج کرده و از آن‌ها به عنوان پروکسی برای بازیابی محتوا از سرورهای ثانویه استفاده می‌کند.

حالت تزریق‌کننده : درخواست‌های مرورگر از نتایج جستجوی گوگل را رهگیری می‌کند، جاوا اسکریپت را از سرور C2 بازیابی می‌کند، آن را در پاسخ HTML جاسازی می‌کند و کاربران را به سایت‌ها یا تبلیغات غیرمجاز هدایت می‌کند.

حالت کلاهبرداری سئو : چندین سرور IIS را به خطر می‌اندازد تا با استفاده از بک لینک‌ها، رتبه‌بندی موتورهای جستجو را به صورت مصنوعی افزایش دهد.

کلاهبرداری سئو و تاکتیک‌های بک لینک سازی

UAT-8099 از بک لینک، یک استراتژی استاندارد سئو، برای افزایش بازدید وب‌سایت استفاده می‌کند. گوگل بک لینک‌ها را برای کشف صفحات جدید و سنجش ارتباط کلمات کلیدی ارزیابی می‌کند. در حالی که بک لینک‌های بیشتر می‌توانند رتبه‌بندی را بهبود بخشند، بک لینک‌های بی‌کیفیت یا مصنوعی می‌توانند باعث جریمه شدن توسط گوگل شوند.

با ترکیب استقرار بدافزار، استفاده از پوسته وب و بک‌لینک‌سازی استراتژیک، UAT-8099 قادر است نتایج جستجو را دستکاری کرده و به طور مؤثر از سرورهای آسیب‌دیده کسب درآمد کند و آنها را به یک عامل پرخطر در چشم‌انداز کلاهبرداری سئو تبدیل کند.