UAT-8099 SEO យុទ្ធនាការក្លែងបន្លំ
ថ្មីៗនេះ ក្រុមអ្នកស្រាវជ្រាវសន្តិសុខអ៊ីនធឺណិតបានរកឃើញក្រុមឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិតដែលនិយាយភាសាចិនដែលមានកូដឈ្មោះ UAT-8099 ដែលទទួលខុសត្រូវចំពោះការវាយប្រហារដ៏ស្មុគ្រស្មាញដែលផ្តោតលើម៉ាស៊ីនមេ Microsoft Internet Information Services (IIS) ។ ក្រុមនេះចូលរួមក្នុងការក្លែងបន្លំការបង្កើនប្រសិទ្ធភាពម៉ាស៊ីនស្វែងរក (SEO) និងការលួចនូវព័ត៌មានសម្ងាត់ដែលមានតម្លៃខ្ពស់ ឯកសារកំណត់រចនាសម្ព័ន្ធ និងទិន្នន័យវិញ្ញាបនបត្រ ដែលបង្កហានិភ័យយ៉ាងសំខាន់ដល់អង្គការនានាទូទាំងពិភពលោក។
តារាងមាតិកា
ការឈានដល់សកល និងទម្រង់គោលដៅ
សកម្មភាពរបស់ក្រុមនេះត្រូវបានគេសង្កេតឃើញជាចម្បងនៅក្នុងប្រទេសឥណ្ឌា ថៃ វៀតណាម កាណាដា និងប្រេស៊ីល ដែលប៉ះពាល់ដល់សាកលវិទ្យាល័យ ក្រុមហ៊ុនបច្ចេកវិទ្យា និងអ្នកផ្តល់សេវាទូរគមនាគមន៍។ បានរកឃើញជាលើកដំបូងនៅក្នុងខែមេសា ឆ្នាំ 2025 ការវាយប្រហាររបស់ UAT-8099 ផ្តោតជាសំខាន់លើអ្នកប្រើប្រាស់ទូរសព្ទចល័ត ដែលលាតសន្ធឹងទាំងឧបករណ៍ Android និង iOS ។
តួសម្តែងនេះគឺជាផ្នែកមួយនៃរលកកើនឡើងនៃក្រុមគំរាមកំហែងដែលភ្ជាប់ជាមួយប្រទេសចិនដែលចូលរួមក្នុងការក្លែងបន្លំ SEO ។ សម្រាប់បរិបទ យុទ្ធនាការនាពេលថ្មីៗនេះដោយតួអង្គមួយផ្សេងទៀត GhostRedirector បានសម្របសម្រួលយ៉ាងហោចណាស់ 65 ម៉ាស៊ីនមេ Windows ដោយប្រើម៉ូឌុល IIS ព្យាបាទដែលមានឈ្មោះកូដ Gamshen ដោយកំណត់គោលដៅក្នុងតំបន់ស្រដៀងគ្នា។
វិធីសាស្រ្តវាយប្រហារ និងការចូលប្រើដំបូង
UAT-8099 ដោយប្រុងប្រយ័ត្នជ្រើសរើសម៉ាស៊ីនមេ IIS ដែលមានតម្លៃខ្ពស់នៅក្នុងតំបន់គោលដៅ និងទាញយកភាពងាយរងគ្រោះផ្នែកសុវត្ថិភាព ឬការកំណត់រចនាសម្ព័ន្ធផ្ទុកឯកសារខ្សោយ។ វិធីសាស្រ្តរបស់ពួកគេរួមមាន:
- កំពុងបង្ហោះសែលបណ្តាញដើម្បីប្រមូលព័ត៌មានប្រព័ន្ធ។
- ការបង្កើនសិទ្ធិតាមរយៈគណនីភ្ញៀវ ឈានដល់ការចូលប្រើកម្រិតអ្នកគ្រប់គ្រង។
- ការបើកដំណើរការពិធីការផ្ទៃតុពីចម្ងាយ (RDP) សម្រាប់ការចូលប្រើប្រាស់បន្ត។
ក្រុមនេះក៏ចាត់វិធានការដើម្បីការពារទីតាំងដំបូង ដោយការពារអ្នកគំរាមកំហែងផ្សេងទៀតពីការសម្របសម្រួលម៉ាស៊ីនមេដូចគ្នា។ Cobalt Strike ត្រូវបានគេដាក់ពង្រាយជាទ្វារខាងក្រោយចម្បងសម្រាប់សកម្មភាពក្រោយការកេងប្រវ័ញ្ច។
ការដាក់ពង្រាយមេរោគ និងការជាប់រហូត
ដើម្បីរក្សាការគ្រប់គ្រងរយៈពេលវែង UAT-8099 រួមបញ្ចូលគ្នានូវ RDP ជាមួយនឹងឧបករណ៍ VPN ដូចជា SoftEther VPN, EasyTier និង Fast Reverse Proxy (FRP) ។ ខ្សែសង្វាក់វាយប្រហារបញ្ចប់ដោយការដំឡើងមេរោគ BadIIS ដែលជាឧបករណ៍ប្រើប្រាស់ដោយក្រុមនិយាយភាសាចិនជាច្រើន រួមមាន DragonRank និង Operation Rewrite (CL-UNK-1037)។
នៅពេលដែលនៅខាងក្នុង តារាសម្តែងប្រើឧបករណ៍ GUI ដូចជាអ្វីគ្រប់យ៉ាង ដើម្បីកំណត់ទីតាំង និងទាញយកទិន្នន័យដ៏មានតម្លៃសម្រាប់លក់បន្ត ឬការកេងប្រវ័ញ្ចបន្ថែមទៀត។ ចំនួនពិតប្រាកដនៃម៉ាស៊ីនមេដែលត្រូវបានសម្របសម្រួលនៅតែមិនស្គាល់។
មេរោគ BadIIS៖ របៀប និងមុខងារ
វ៉ារ្យ៉ង់ BadIIS ដែលដាក់ពង្រាយត្រូវបានកែប្រែជាពិសេសដើម្បីគេចពីការរកឃើញកំចាត់មេរោគ និងឆ្លុះបញ្ចាំងពីមុខងាររបស់ Gamshen ។ ការរៀបចំ SEO របស់វាដំណើរការតែនៅពេលដែលសំណើមានប្រភពមកពី Googlebot ប៉ុណ្ណោះ។ BadIIS ដំណើរការជាបីរបៀបសំខាន់ៗ៖
របៀបប្រូកស៊ី ៖ ទាញយកអាសយដ្ឋានម៉ាស៊ីនមេ C2 ដែលបានអ៊ិនកូដ ហើយប្រើពួកវាជាប្រូកស៊ី ដើម្បីទាញយកមាតិកាពីម៉ាស៊ីនមេបន្ទាប់បន្សំ។
របៀបចាក់បញ្ចូល ៖ ស្ទាក់ចាប់សំណើរកម្មវិធីរុករកតាមអ៊ីនធឺណិតពីលទ្ធផលស្វែងរករបស់ Google ទាញយក JavaScript ពីម៉ាស៊ីនមេ C2 បង្កប់វាទៅក្នុងការឆ្លើយតប HTML និងបញ្ជូនអ្នកប្រើប្រាស់ទៅកាន់គេហទំព័រ ឬការផ្សាយពាណិជ្ជកម្មដែលគ្មានការអនុញ្ញាត។
របៀបក្លែងបន្លំ SEO ៖ សម្របសម្រួលម៉ាស៊ីនមេ IIS ជាច្រើនដើម្បីបង្កើនចំណាត់ថ្នាក់ម៉ាស៊ីនស្វែងរកដោយសិប្បនិម្មិតដោយប្រើ backlinks ។
SEO ការក្លែងបន្លំ និងយុទ្ធសាស្ត្រ Backlinking
UAT-8099 ប្រើប្រាស់ backlinking ដែលជាយុទ្ធសាស្ត្រ SEO ស្តង់ដារ ដើម្បីបង្កើនភាពមើលឃើញគេហទំព័រ។ Google វាយតម្លៃ backlinks ដើម្បីស្វែងរកទំព័រថ្មី និងវាស់វែងភាពពាក់ព័ន្ធនៃពាក្យគន្លឹះ។ ខណៈពេលដែល backlinks កាន់តែច្រើនអាចកែលម្អចំណាត់ថ្នាក់ គុណភាពមិនល្អ ឬ backlinks សិប្បនិម្មិតអាចបង្កឱ្យមានការពិន័យពី Google ។
ដោយការរួមបញ្ចូលការដាក់ពង្រាយមេរោគ ការប្រើប្រាស់សែលគេហទំព័រ និង backlinking ជាយុទ្ធសាស្រ្ត UAT-8099 អាចរៀបចំលទ្ធផលស្វែងរក និងរកប្រាក់ពីម៉ាស៊ីនមេដែលរងការសម្រុះសម្រួលប្រកបដោយប្រសិទ្ធភាព ធ្វើឱ្យពួកគេក្លាយជាតួអង្គដែលមានហានិភ័យខ្ពស់នៅក្នុងទិដ្ឋភាពក្លែងបន្លំ SEO ។
