UAT-8099 SEO sukčiavimo kampanija
Kibernetinio saugumo tyrėjai neseniai atskleidė kiniškai kalbančią kibernetinių nusikaltimų grupuotę, kurios kodinis pavadinimas yra UAT-8099, atsakingą už sudėtingas atakas, nukreiptas prieš „Microsoft“ interneto informacijos paslaugų (IIS) serverius. Ši grupuotė užsiima paieškos sistemų optimizavimo (SEO) sukčiavimu ir didelės vertės prisijungimo duomenų, konfigūracijos failų bei sertifikatų duomenų vagyste, keldama didelę grėsmę organizacijoms visame pasaulyje.
Turinys
Pasaulinis pasiekiamumas ir tikslinis profilis
Grupės veikla daugiausia pastebėta Indijoje, Tailande, Vietname, Kanadoje ir Brazilijoje, paveikdama universitetus, technologijų įmones ir telekomunikacijų paslaugų teikėjus. Pirmą kartą aptikta 2025 m. balandžio mėn., UAT-8099 atakos daugiausia nukreiptos prieš mobiliųjų įrenginių naudotojus, apimančius tiek „Android“, tiek „iOS“ įrenginius.
Šis veikėjas yra augančios su Kinija siejamų grėsmių grupių, užsiimančių SEO sukčiavimu, bangos dalis. Kontekstui paminėtina, kad neseniai kito veikėjo „GhostRedirector“ vykdyta kampanija, kurios metu buvo pažeisti mažiausiai 65 „Windows“ serveriai, naudojant kenkėjišką IIS modulį, kodiniu pavadinimu „Gamshen“, skirtą panašiems regionams.
Atakos metodai ir pradinė prieiga
UAT-8099 kruopščiai atrenka didelės vertės IIS serverius tiksliniuose regionuose ir išnaudoja saugumo spragas arba silpnas failų įkėlimo konfigūracijas. Jų metodas apima:
- Įkeliami žiniatinklio apvalkalai, kad būtų renkama sistemos informacija.
- Privilegijų eskalavimas per svečio paskyrą, pasiekiant administratoriaus lygio prieigą.
- Įjungiamas nuotolinio darbalaukio protokolas (RDP), kad būtų galima toliau naudotis.
Grupė taip pat imasi veiksmų, kad užsitikrintų pradinę poziciją ir neleistų kitiems grėsmių veikėjams pažeisti tų pačių serverių. „Cobalt Strike“ naudojama kaip pagrindinė galinė prieiga po atakos.
Patvarumas ir kenkėjiškų programų diegimas
Siekdamas išlaikyti ilgalaikę kontrolę, UAT-8099 derina RDP su VPN įrankiais, tokiais kaip „SoftEther VPN“, „EasyTier“ ir „Fast Reverse Proxy“ (FRP). Atakų grandinė kulminuoja įdiegus „BadIIS“ kenkėjišką programą – įrankį, kurį naudoja keli kinų kalba kalbantys klasteriai, įskaitant „DragonRank“ ir „Operation Rewrite“ (CL-UNK-1037).
Patekęs į vidų, veikėjas naudoja grafinės sąsajos įrankius, tokius kaip „Everything“, kad surastų ir išfiltruotų vertingus duomenis perpardavimui ar tolesniam naudojimui. Tikslus pažeistų serverių skaičius nežinomas.
BadIIS kenkėjiška programa: režimai ir funkcionalumas
Įdiegtas „BadIIS“ variantas buvo specialiai modifikuotas, kad išvengtų antivirusinių programų aptikimo, ir atkartoja „Gamshen“ funkcionalumą. Jo SEO manipuliavimas suaktyvėja tik tada, kai užklausos siunčiamos iš „Googlebot“. „BadIIS“ veikia trimis pagrindiniais režimais:
Tarpinio serverio režimas : išgauna užkoduotus C2 serverių adresus ir naudoja juos kaip tarpinius serverius turiniui iš antrinių serverių gauti.
Injektoriaus režimas : perima naršyklės užklausas iš „Google“ paieškos rezultatų, nuskaito „JavaScript“ iš C2 serverio, įterpia jį į HTML atsakymą ir nukreipia vartotojus į neleistinas svetaines ar reklamas.
SEO sukčiavimo režimas : pažeidžia kelis IIS serverius, kad dirbtinai pagerintų paieškos sistemų reitingus naudodamas atgalines nuorodas.
SEO sukčiavimas ir atgalinių nuorodų taktika
UAT-8099 naudoja atgalines nuorodas – standartinę SEO strategiją, siekdama padidinti svetainės matomumą. „Google“ vertina atgalines nuorodas, kad atrastų naujus puslapius ir įvertintų raktinių žodžių aktualumą. Nors daugiau atgalinių nuorodų gali pagerinti reitingus, prastos kokybės arba dirbtinės atgalinės nuorodos gali sukelti „Google“ nuobaudas.
Derindamas kenkėjiškų programų diegimą, žiniatinklio apvalkalo naudojimą ir strategines atgalines nuorodas, UAT-8099 gali manipuliuoti paieškos rezultatais ir efektyviai gauti pajamų iš pažeistų serverių, todėl jie tampa didelės rizikos veikėjais SEO sukčiavimo srityje.
