UAT-8099 SEO धोखाधड़ी अभियान
साइबर सुरक्षा शोधकर्ताओं ने हाल ही में एक चीनी भाषी साइबर अपराध समूह का पर्दाफाश किया है, जिसका कोडनेम UAT-8099 है और जो माइक्रोसॉफ्ट इंटरनेट इन्फॉर्मेशन सर्विसेज (IIS) सर्वरों पर परिष्कृत हमलों के लिए ज़िम्मेदार है। यह समूह सर्च इंजन ऑप्टिमाइज़ेशन (SEO) धोखाधड़ी और उच्च-मूल्य वाले क्रेडेंशियल्स, कॉन्फ़िगरेशन फ़ाइलों और प्रमाणपत्र डेटा की चोरी में लिप्त है, जिससे दुनिया भर के संगठनों के लिए गंभीर जोखिम पैदा होता है।
विषयसूची
वैश्विक पहुंच और लक्ष्य प्रोफ़ाइल
इस समूह की गतिविधियाँ मुख्य रूप से भारत, थाईलैंड, वियतनाम, कनाडा और ब्राज़ील में देखी गई हैं, जो विश्वविद्यालयों, तकनीकी फर्मों और दूरसंचार प्रदाताओं को प्रभावित करती हैं। पहली बार अप्रैल 2025 में पता चला, UAT-8099 के हमले मुख्य रूप से मोबाइल उपयोगकर्ताओं पर केंद्रित हैं, जो एंड्रॉइड और iOS दोनों उपकरणों पर फैले हुए हैं।
यह अभिनेता एसईओ धोखाधड़ी में लिप्त चीन से जुड़े ख़तरा समूहों की बढ़ती लहर का हिस्सा है। संदर्भ के लिए, एक अन्य अभिनेता, घोस्टरीडायरेक्टर, द्वारा हाल ही में चलाए गए एक अभियान ने, समान क्षेत्रों को लक्षित करते हुए, गैमशेन कोडनाम वाले एक दुर्भावनापूर्ण आईआईएस मॉड्यूल का उपयोग करके कम से कम 65 विंडोज़ सर्वरों को खतरे में डाल दिया।
हमले के तरीके और प्रारंभिक पहुँच
UAT-8099 लक्षित क्षेत्रों में उच्च-मूल्य वाले IIS सर्वरों का सावधानीपूर्वक चयन करता है और सुरक्षा कमज़ोरियों या कमज़ोर फ़ाइल अपलोड कॉन्फ़िगरेशन का फ़ायदा उठाता है। उनके दृष्टिकोण में शामिल हैं:
- सिस्टम जानकारी एकत्र करने के लिए वेब शेल अपलोड करना।
- अतिथि खाते के माध्यम से विशेषाधिकारों को बढ़ाना, प्रशासक-स्तर तक पहुंच प्राप्त करना।
- निरंतर पहुंच के लिए रिमोट डेस्कटॉप प्रोटोकॉल (RDP) सक्षम करना।
समूह शुरुआती पैर जमाने के लिए भी कदम उठाता है, ताकि दूसरे ख़तरा पैदा करने वाले तत्वों को उन्हीं सर्वरों से समझौता करने से रोका जा सके। कोबाल्ट स्ट्राइक को शोषण के बाद की गतिविधियों के लिए प्राथमिक बैकडोर के रूप में तैनात किया जाता है।
दृढ़ता और मैलवेयर परिनियोजन
दीर्घकालिक नियंत्रण बनाए रखने के लिए, UAT-8099 RDP को VPN टूल्स जैसे SoftEther VPN, EasyTier, और Fast Reverse Proxy (FRP) के साथ जोड़ता है। हमले की श्रृंखला BadIIS मैलवेयर की स्थापना के साथ समाप्त होती है, जो ड्रैगनरैंक और ऑपरेशन रीराइट (CL-UNK-1037) सहित कई चीनी-भाषी क्लस्टरों द्वारा उपयोग किया जाने वाला एक टूल है।
अंदर घुसने के बाद, अभिनेता "एवरीथिंग" जैसे GUI टूल का इस्तेमाल करके मूल्यवान डेटा का पता लगाता है और उसे दोबारा बेचने या आगे के इस्तेमाल के लिए निकाल लेता है। प्रभावित सर्वरों की सही संख्या अभी अज्ञात है।
BadIIS मैलवेयर: मोड और कार्यक्षमता
तैनात BadIIS संस्करण को एंटीवायरस की पहचान से बचने के लिए विशेष रूप से संशोधित किया गया है और यह Gamshen की कार्यक्षमता को प्रतिबिंबित करता है। इसका SEO हेरफेर केवल तभी सक्रिय होता है जब अनुरोध Googlebot से आते हैं। BadIIS तीन मुख्य मोड में काम करता है:
प्रॉक्सी मोड : एनकोडेड C2 सर्वर पते निकालता है और द्वितीयक सर्वरों से सामग्री प्राप्त करने के लिए उन्हें प्रॉक्सी के रूप में उपयोग करता है।
इंजेक्टर मोड : गूगल खोज परिणामों से ब्राउज़र अनुरोधों को इंटरसेप्ट करता है, C2 सर्वर से जावास्क्रिप्ट प्राप्त करता है, इसे HTML प्रतिक्रिया में एम्बेड करता है, और उपयोगकर्ताओं को अनधिकृत साइटों या विज्ञापनों पर पुनर्निर्देशित करता है।
एसईओ धोखाधड़ी मोड : बैकलिंक्स का उपयोग करके खोज इंजन रैंकिंग को कृत्रिम रूप से बढ़ाने के लिए कई आईआईएस सर्वरों से समझौता करता है।
एसईओ धोखाधड़ी और बैकलिंकिंग रणनीतियाँ
UAT-8099 वेबसाइट की दृश्यता बढ़ाने के लिए एक मानक SEO रणनीति, बैकलिंकिंग का उपयोग करता है। Google नए पेज खोजने और कीवर्ड प्रासंगिकता मापने के लिए बैकलिंक्स का मूल्यांकन करता है। हालाँकि ज़्यादा बैकलिंक्स रैंकिंग में सुधार कर सकते हैं, लेकिन खराब गुणवत्ता वाले या कृत्रिम बैकलिंक्स Google की ओर से दंड का कारण बन सकते हैं।
मैलवेयर परिनियोजन, वेब शेल उपयोग और रणनीतिक बैकलिंकिंग के संयोजन से, UAT-8099 खोज परिणामों में हेरफेर करने और समझौता किए गए सर्वरों से प्रभावी ढंग से कमाई करने में सक्षम है, जिससे वे SEO धोखाधड़ी परिदृश्य में एक उच्च जोखिम वाले अभिनेता बन जाते हैं।
