UAT-8099 SEO-petoskampanja
Kyberturvallisuustutkijat ovat äskettäin paljastaneet kiinaa puhuvan kyberrikollisryhmän koodinimeltään UAT-8099, joka on vastuussa hienostuneista hyökkäyksistä Microsoft Internet Information Services (IIS) -palvelimiin. Tämä ryhmä harjoittaa hakukoneoptimointipetoksia (SEO) ja varastaa arvokkaita tunnistetietoja, määritystiedostoja ja varmennetietoja, mikä aiheuttaa merkittäviä riskejä organisaatioille maailmanlaajuisesti.
Sisällysluettelo
Globaali ulottuvuus ja kohdeprofiili
Ryhmän toimintaa on havaittu pääasiassa Intiassa, Thaimaassa, Vietnamissa, Kanadassa ja Brasiliassa, ja se on vaikuttanut yliopistoihin, teknologiayrityksiin ja teleoperaattoreihin. UAT-8099:n hyökkäykset havaittiin ensimmäisen kerran huhtikuussa 2025, ja ne keskittyvät pääasiassa mobiilikäyttäjiin sekä Android- että iOS-laitteilla.
Tämä toimija on osa kasvavaa Kiinaan kytköksissä olevien uhkaryppäiden aaltoa, jotka osallistuvat hakukoneoptimointipetoksiin. Kontekstin vuoksi toisen toimijan, GhostRedirectorin, äskettäinen kampanja vaaransi ainakin 65 Windows-palvelinta käyttämällä haitallista IIS-moduulia, jonka koodinimi on Gamshen, ja kohdisti sen samankaltaisiin alueisiin.
Hyökkäysmenetelmät ja alustava pääsy
UAT-8099 valitsee huolellisesti kohdealueiden arvokkaat IIS-palvelimet ja hyödyntää tietoturva-aukkoja tai heikkoja tiedostojen latausasetuksia. Heidän lähestymistapaansa kuuluu:
- Verkkokuorien lataaminen järjestelmätietojen keräämiseksi.
- Oikeuksien laajentaminen vierastilin kautta, järjestelmänvalvojatason käyttöoikeuksien saavuttaminen.
- Etätyöpöytäprotokollan (RDP) ottaminen käyttöön jatkuvaa käyttöä varten.
Ryhmä ryhtyy myös toimiin varmistaakseen alustavan jalansijan estäen muita uhkatoimijoita vaarantamasta samoja palvelimia. Cobalt Strikea käytetään ensisijaisena takaporttina hyökkäyksen jälkeistä toimintaa varten.
Pysyvyys ja haittaohjelmien käyttöönotto
Pitkäaikaisen hallinnan ylläpitämiseksi UAT-8099 yhdistää RDP:n VPN-työkaluihin, kuten SoftEther VPN, EasyTier ja Fast Reverse Proxy (FRP). Hyökkäysketju huipentuu BadIIS-haittaohjelman asentamiseen, työkaluun, jota useat kiinankieliset klusterit, kuten DragonRank ja Operation Rewrite (CL-UNK-1037), käyttävät.
Sisällä toimija käyttää graafisia työkaluja, kuten Everything, paikantaakseen ja purkaakseen arvokasta dataa jälleenmyyntiä tai hyödyntämistä varten. Vaarantuneitten palvelimien tarkka määrä on edelleen tuntematon.
BadIIS-haittaohjelma: tilat ja toiminnallisuus
Käyttöön otettua BadIIS-varianttia on erityisesti muokattu virustorjuntaohjelmien havaitsemisen välttämiseksi, ja se peilaa Gamshenin toiminnallisuutta. Sen SEO-manipulaatio aktivoituu vain, kun pyynnöt tulevat Googlebotilta. BadIIS toimii kolmessa päätilassa:
Välityspalvelintila : Poimii koodatut C2-palvelinosoitteet ja käyttää niitä välityspalvelimina sisällön hakemiseen toissijaisilta palvelimilta.
Injektoritila : Sieppaa selainpyynnöt Googlen hakutuloksista, hakee JavaScriptin C2-palvelimelta, upottaa sen HTML-vastaukseen ja ohjaa käyttäjät luvattomille sivustoille tai mainoksiin.
SEO-petostila : Vaarantaa useita IIS-palvelimia parantaakseen keinotekoisesti hakukoneiden sijoituksia backlinkkien avulla.
SEO-petokset ja backlink-taktiikat
UAT-8099 käyttää backlinking-tekniikkaa, joka on SEO-strategian vakiomuoto, verkkosivuston näkyvyyden lisäämiseksi. Google arvioi backlinkejä löytääkseen uusia sivuja ja mitatakseen avainsanojen relevanssia. Vaikka useammat backlinkit voivat parantaa sijoitusta, heikkolaatuiset tai keinotekoiset backlinkit voivat johtaa Googlen rangaistukseen.
Yhdistämällä haittaohjelmien käyttöönoton, web-kuoren käytön ja strategisen takaisinlinkityksen UAT-8099 pystyy manipuloimaan hakutuloksia ja ansaitsemaan rahaa tehokkaasti vaarantuneilla palvelimilla, mikä tekee siitä riskialttiimman toimijan hakukoneoptimointipetosten alalla.
