קמפיין הונאה של קידום אתרים UAT-8099

חוקרי אבטחת סייבר חשפו לאחרונה קבוצת פשעי סייבר דוברת סינית בשם הקוד UAT-8099, האחראית על התקפות מתוחכמות המכוונות לשרתי Microsoft Internet Information Services (IIS). קבוצה זו עוסקת בהונאות SEO (קידום אתרים) וגניבת אישורים יקרי ערך, קבצי תצורה ונתוני אישורים, מה שמהווה סיכונים משמעותיים לארגונים ברחבי העולם.

פרופיל טווח וקהל יעד גלובלי

פעילות הקבוצה נצפתה בעיקר בהודו, תאילנד, וייטנאם, קנדה וברזיל, ופגעה באוניברסיטאות, חברות טכנולוגיה וספקי תקשורת. התקפות UAT-8099, שזוהו לראשונה באפריל 2025, מתמקדות בעיקר במשתמשי מובייל, הן במכשירי אנדרואיד והן במכשירי iOS.

גורם זה הוא חלק מגל הולך וגדל של אשכולות איומים הקשורים לסין העוסקים בהונאות SEO. לשם ההקשר, קמפיין שנערך לאחרונה על ידי גורם אחר, GhostRedirector, פרץ לפחות ל-65 שרתי Windows באמצעות מודול IIS זדוני בשם הקוד Gamshen, שכוון לאזורים דומים.

שיטות תקיפה וגישה ראשונית

UAT-8099 בוחר בקפידה שרתי IIS בעלי ערך גבוה באזורי יעד ומנצל פגיעויות אבטחה או תצורות חלשות של העלאת קבצים. הגישה שלהם כוללת:

• העלאת קונכיות אינטרנט לאיסוף מידע על המערכת.
• הסלמת הרשאות דרך חשבון האורח, הגעה לגישה ברמת מנהל מערכת.
• הפעלת פרוטוקול שולחן עבודה מרוחק (RDP) לגישה מתמשכת.

הקבוצה נוקטת גם בצעדים כדי להבטיח את עמדתה הראשונית, ולמנוע מגורמי איום אחרים לפגוע באותם שרתים. Cobalt Strike נפרסת כדלת אחורית עיקרית לפעילות לאחר ניצול.

פריסת תוכנות זדוניות ועמידות

כדי לשמור על שליטה ארוכת טווח, UAT-8099 משלב RDP עם כלי VPN כגון SoftEther VPN, EasyTier ו-Fast Reverse Proxy (FRP). שרשרת ההתקפה מגיעה לשיאה בהתקנת תוכנה זדונית BadIIS, כלי המשמש אשכולות דוברי סינית מרובים, כולל DragonRank ו-Operation Rewrite (CL-UNK-1037).

לאחר שנכנס פנימה, השחקן משתמש בכלי ממשק משתמש גרפי כמו Everything כדי לאתר ולחלץ נתונים יקרי ערך למכירה חוזרת או לניצול נוסף. המספר המדויק של השרתים שנפרצו נותר לא ידוע.

התוכנה הזדונית של BadIIS: מצבים ופונקציונליות

גרסת BadIIS שנפרסה שונתה במיוחד כדי להתחמק מגילוי אנטי-וירוס ומשקפת את הפונקציונליות של Gamshen. מניפולציית ה-SEO שלה מופעלת רק כאשר בקשות מגיעות מ-Googlebot. BadIIS פועל בשלושה מצבים עיקריים:

מצב פרוקסי : מחלץ כתובות שרת C2 מקודדות ומשתמש בהן כשרתים פרוקסיים כדי לאחזר תוכן משרתים משניים.

מצב הזרקה : מיירט בקשות דפדפן מתוצאות החיפוש של גוגל, מאחזר JavaScript משרת C2, מטמיע אותו בתגובת ה-HTML ומפנה משתמשים לאתרים או פרסומות לא מורשים.

מצב הונאת SEO : פגיעה בשרתי IIS מרובים כדי לשפר באופן מלאכותי את דירוג מנועי החיפוש באמצעות קישורים נכנסים.

הונאות SEO וטקטיקות קישורים נכנסים

UAT-8099 משתמש בקישורים נכנסים (backlinking), אסטרטגיית SEO סטנדרטית, כדי להגדיל את הנראות של אתר אינטרנט. גוגל מעריכה קישורים נכנסים כדי לגלות דפים חדשים ולמדוד את הרלוונטיות של מילות מפתח. בעוד שיותר קישורים נכנסים יכולים לשפר את הדירוג, קישורים נכנסים באיכות ירודה או מלאכותיים יכולים לגרום לעונשים מצד גוגל.

על ידי שילוב של פריסת תוכנות זדוניות, שימוש ב-Web Shell וקישורים נכנסים אסטרטגיים, UAT-8099 מסוגל לתמרן תוצאות חיפוש ולהפיק רווחים משרתים שנפגעו ביעילות, מה שהופך אותם לשחקן בסיכון גבוה בנוף הונאות SEO.