UAT-8099 SEO csalási kampány
Kiberbiztonsági kutatók nemrégiben lelepleztek egy UAT-8099 kódnevű kínai anyanyelvű kiberbűnözői csoportot, amely a Microsoft Internet Information Services (IIS) szervereit célzó kifinomult támadásokért felelős. Ez a csoport keresőoptimalizálási (SEO) csalásokkal és nagy értékű hitelesítő adatok, konfigurációs fájlok és tanúsítványadatok ellopásával foglalkozik, ami jelentős kockázatot jelent a szervezetek számára világszerte.
Tartalomjegyzék
Globális elérés és célzott profil
A csoport tevékenységét elsősorban Indiában, Thaiföldön, Vietnámban, Kanadában és Brazíliában figyelték meg, egyetemeket, technológiai cégeket és telekommunikációs szolgáltatókat érintve. Az UAT-8099 támadásait először 2025 áprilisában észlelték, és főként a mobilfelhasználókra összpontosítanak, mind Android, mind iOS eszközökön.
Ez a szereplő egy Kínához köthető, SEO-csalásokba bonyolódó fenyegetési csoportosulás növekvő hullámának része. Összehasonlításképpen, egy másik szereplő, a GhostRedirector nemrégiben indított kampánya legalább 65 Windows szervert kompromittált egy Gamshen kódnevű rosszindulatú IIS modullal, hasonló régiókat célozva meg.
Támadási módszerek és kezdeti hozzáférés
Az UAT-8099 gondosan kiválasztja a nagy értékű IIS-kiszolgálókat a célzott régiókban, és kihasználja a biztonsági réseket vagy a gyenge fájlfeltöltési konfigurációkat. Megközelítésük a következőket foglalja magában:
- Webes shell feltöltése rendszerinformációk gyűjtéséhez.
- Jogosultságok eszkalálása vendégfiókon keresztül, rendszergazdai szintű hozzáférés elérése.
- Távoli asztali protokoll (RDP) engedélyezése a folyamatos hozzáférés érdekében.
A csoport lépéseket tesz a kezdeti pozíció megszerzése érdekében is, megakadályozva, hogy más fenyegetések feltörjék ugyanazokat a szervereket. A Cobalt Strike-ot elsődleges hátsó ajtóként alkalmazzák a támadások utáni tevékenységekhez.
Perzisztencia és kártevő telepítés
A hosszú távú kontroll fenntartása érdekében az UAT-8099 az RDP-t olyan VPN-eszközökkel kombinálja, mint a SoftEther VPN, az EasyTier és a Fast Reverse Proxy (FRP). A támadási lánc a BadIIS rosszindulatú program telepítésével csúcsosodik ki, amelyet több kínaiul beszélő klaszter is használ, beleértve a DragonRank-et és az Operation Rewrite-ot (CL-UNK-1037).
Miután bejutott, a szereplő grafikus eszközöket, például az Everything-et használva keresett meg és kinyert értékes adatokat értékesítés vagy további felhasználás céljából. A feltört szerverek pontos száma továbbra sem ismert.
A BadIIS rosszindulatú program: módok és funkciók
A telepített BadIIS variánst kifejezetten úgy módosították, hogy elkerülje a víruskeresők észlelését, és tükrözi a Gamshen funkcionalitását. SEO-manipulációja csak akkor aktiválódik, ha a kérések a Googlebottól származnak. A BadIIS három fő módban működik:
Proxy mód : Kinyeri a kódolt C2 szervercímeket, és proxyként használja azokat a másodlagos szerverekről származó tartalom lekéréséhez.
Injektor mód : Elfogja a Google keresési eredményeiből érkező böngészőkéréseket, lekéri a JavaScriptet a C2 szerverről, beágyazza azt a HTML válaszba, és átirányítja a felhasználókat jogosulatlan webhelyekre vagy hirdetésekre.
SEO csalás mód : Több IIS szervert is megrongál, hogy mesterségesen javítsa a keresőmotorok rangsorolását backlinkek segítségével.
SEO csalás és backlinkelési taktikák
Az UAT-8099 a backlinkelést, egy standard SEO stratégiát alkalmazza a webhely láthatóságának növelésére. A Google a backlinkeket értékeli, hogy új oldalakat fedezzen fel és mérje a kulcsszavak relevanciáját. Míg több backlink javíthatja a rangsorolást, a gyenge minőségű vagy mesterséges backlinkek büntetéseket vonhatnak maguk után a Google részéről.
A rosszindulatú programok telepítésének, a web shell használatának és a stratégiai backlinkelésnek a kombinálásával az UAT-8099 képes manipulálni a keresési eredményeket és hatékonyan bevételt szerezni a feltört szerverekből, így magas kockázatú szereplővé válik a SEO-csalások világában.
