UAT-8099 SEO kampanja prijevare
Istraživači kibernetičke sigurnosti nedavno su otkrili kinesku skupinu za kibernetički kriminal kodnog naziva UAT-8099, odgovornu za sofisticirane napade usmjerene na poslužitelje Microsoft Internet Information Services (IIS). Ova se skupina bavi prijevarama optimizacije za tražilice (SEO) i krađom vrijednih vjerodajnica, konfiguracijskih datoteka i podataka o certifikatima, što predstavlja značajan rizik za organizacije diljem svijeta.
Sadržaj
Globalni doseg i profil ciljane skupine
Aktivnost grupe prvenstveno je uočena u Indiji, Tajlandu, Vijetnamu, Kanadi i Brazilu, a pogađa sveučilišta, tehnološke tvrtke i telekomunikacijske pružatelje usluga. Napadi UAT-8099, prvi put otkriveni u travnju 2025., uglavnom su usmjereni na mobilne korisnike, a obuhvaćaju i Android i iOS uređaje.
Ovaj akter dio je rastućeg vala klastera prijetnji povezanih s Kinom koji se bave SEO prijevarama. Za kontekst, nedavna kampanja drugog aktera, GhostRedirector, kompromitirala je najmanje 65 Windows poslužitelja koristeći zlonamjerni IIS modul kodnog naziva Gamshen, ciljajući slične regije.
Metode napada i početni pristup
UAT-8099 pažljivo odabire visokovrijedne IIS poslužitelje u ciljanim regijama i iskorištava sigurnosne ranjivosti ili slabe konfiguracije za prijenos datoteka. Njihov pristup uključuje:
- Prijenos web ljuski za prikupljanje sistemskih informacija.
- Eskaliranje privilegija putem gostujućeg računa, postizanje pristupa na administratorskoj razini.
- Omogućavanje protokola udaljene radne površine (RDP) za kontinuirani pristup.
Grupa također poduzima korake kako bi osigurala početno uporište, sprječavajući druge aktere prijetnji da kompromitiraju iste servere. Cobalt Strike se koristi kao primarni backdoor za aktivnosti nakon eksploatacije.
Upornost i implementacija zlonamjernog softvera
Kako bi održao dugoročnu kontrolu, UAT-8099 kombinira RDP s VPN alatima kao što su SoftEther VPN, EasyTier i Fast Reverse Proxy (FRP). Lanac napada kulminira instalacijom zlonamjernog softvera BadIIS, alata koji koriste više kineskih klastera, uključujući DragonRank i Operation Rewrite (CL-UNK-1037).
Jednom kada uđe unutra, akter koristi GUI alate poput Everythinga kako bi locirao i izvukao vrijedne podatke za preprodaju ili daljnju eksploataciju. Točan broj kompromitiranih servera ostaje nepoznat.
Zlonamjerni softver BadIIS: načini i funkcionalnost
Implementirana varijanta BadIIS-a posebno je modificirana kako bi izbjegla detekciju antivirusnim programima i odražava funkcionalnost Gamshena. Njegova SEO manipulacija aktivira se samo kada zahtjevi dolaze od Googlebota. BadIIS radi na tri glavna načina:
Proxy način rada : Izdvaja kodirane adrese C2 poslužitelja i koristi ih kao proxyje za dohvaćanje sadržaja sa sekundarnih poslužitelja.
Način rada ubrizgavača : Presreće zahtjeve preglednika iz rezultata Google pretraživanja, dohvaća JavaScript s C2 poslužitelja, ugrađuje ga u HTML odgovor i preusmjerava korisnike na neovlaštene web-lokacije ili oglase.
Način SEO prijevare : Ugrožava više IIS poslužitelja kako bi umjetno poboljšao rangiranje na tražilicama pomoću povratnih poveznica.
SEO prijevare i taktike povratnih poveznica
UAT-8099 koristi povratne poveznice, standardnu SEO strategiju, za povećanje vidljivosti web stranice. Google procjenjuje povratne poveznice kako bi otkrio nove stranice i izmjerio relevantnost ključnih riječi. Dok više povratnih poveznica može poboljšati rangiranje, nekvalitetne ili umjetne povratne poveznice mogu izazvati kazne od strane Googlea.
Kombiniranjem implementacije zlonamjernog softvera, korištenja web ljuske i strateškog povezivanja, UAT-8099 može manipulirati rezultatima pretraživanja i učinkovito unovčiti kompromitirane poslužitelje, što ih čini visokorizičnim akterom u krajoliku SEO prijevara.
