UAT-8099 SEO 사기 캠페인

사이버 보안 연구원들은 최근 중국어를 사용하는 사이버 범죄 조직인 코드명 UAT-8099를 적발했습니다. 이 조직은 마이크로소프트 인터넷 정보 서비스(IIS) 서버를 노리는 정교한 공격을 감행했습니다. 이 조직은 검색 엔진 최적화(SEO) 사기와 고가치 자격 증명, 구성 파일 및 인증서 데이터 도용에 연루되어 전 세계 조직에 심각한 위험을 초래합니다.

글로벌 도달 범위 및 타겟 프로필

이 그룹의 활동은 주로 인도, 태국, 베트남, 캐나다, 브라질에서 관찰되었으며, 대학, 기술 기업, 통신사 등에 영향을 미쳤습니다. 2025년 4월에 처음 탐지된 UAT-8099의 공격은 주로 모바일 사용자를 대상으로 하며, 안드로이드와 iOS 기기를 모두 사용합니다.

이 공격자는 SEO 사기에 연루된 중국 관련 위협 집단의 증가 추세에 속합니다. 참고로, 최근 GhostRedirector라는 또 다른 공격자가 감셴(Gamshen)이라는 코드명의 악성 IIS 모듈을 사용하여 최소 65대의 윈도우 서버를 감염시켰으며, 이는 유사한 지역을 표적으로 삼았습니다.

공격 방법 및 초기 접근

UAT-8099는 대상 지역에서 가치가 높은 IIS 서버를 신중하게 선택하여 보안 취약점이나 취약한 파일 업로드 구성을 악용합니다. 이들의 접근 방식은 다음과 같습니다.

• 시스템 정보를 수집하기 위해 웹 셸을 업로드합니다.
• 게스트 계정을 통해 권한을 확대하여 관리자 수준의 액세스 권한을 얻습니다.
• 지속적인 액세스를 위해 원격 데스크톱 프로토콜(RDP)을 활성화합니다.

또한 이 그룹은 초기 거점을 확보하여 다른 위협 행위자가 동일한 서버를 침해하지 못하도록 조치를 취합니다. Cobalt Strike는 익스플로잇 이후 활동을 위한 주요 백도어로 사용됩니다.

지속성 및 맬웨어 배포

UAT-8099는 장기적인 통제권을 유지하기 위해 RDP와 SoftEther VPN, EasyTier, Fast Reverse Proxy(FRP)와 같은 VPN 도구를 결합합니다. 공격 체인은 DragonRank와 Operation Rewrite(CL-UNK-1037)를 포함한 여러 중국어 사용 클러스터에서 사용되는 도구인 BadIIS 맬웨어 설치로 마무리됩니다.

공격자는 침투 후 Everything과 같은 GUI 도구를 사용하여 귀중한 데이터를 찾아 재판매 또는 추가 악용을 위해 빼돌립니다. 감염된 서버의 정확한 수는 아직 알려지지 않았습니다.

BadIIS 악성코드: 모드 및 기능

배포된 BadIIS 변종은 바이러스 백신 탐지를 회피하도록 특별히 수정되었으며, Gamshen의 기능을 그대로 사용합니다. 이 변종의 SEO 조작 기능은 Googlebot에서 요청이 발생할 때만 활성화됩니다. BadIIS는 세 가지 주요 모드로 작동합니다.

프록시 모드 : 인코딩된 C2 서버 주소를 추출하고 이를 프록시로 사용하여 보조 서버에서 콘텐츠를 검색합니다.

인젝터 모드 : Google 검색 결과에서 브라우저 요청을 가로채고, C2 서버에서 JavaScript를 검색하여 HTML 응답에 내장하고, 사용자를 승인되지 않은 사이트나 광고로 리디렉션합니다.

SEO 사기 모드 : 백링크를 사용하여 여러 IIS 서버를 손상시켜 검색 엔진 순위를 인위적으로 높입니다.

SEO 사기 및 백링킹 전략

UAT-8099는 표준 SEO 전략인 백링크를 활용하여 웹사이트 가시성을 높입니다. Google은 백링크를 평가하여 새로운 페이지를 발견하고 키워드 관련성을 측정합니다. 백링크가 많을수록 순위가 향상될 수 있지만, 품질이 낮거나 인위적인 백링크는 Google의 페널티를 유발할 수 있습니다.

UAT-8099는 악성 소프트웨어 배포, 웹 셸 사용, 전략적 백링킹을 결합하여 검색 결과를 조작하고 손상된 서버를 효과적으로 수익화할 수 있어 SEO 사기 환경에서 고위험 행위자가 됩니다.