UAT-8099 SEO krāpšanas kampaņa
Kiberdrošības pētnieki nesen ir atklājuši ķīniešu valodā runājošu kibernoziedznieku grupu ar koda nosaukumu UAT-8099, kas ir atbildīga par sarežģītiem uzbrukumiem, kuru mērķis ir Microsoft interneta informācijas pakalpojumu (IIS) serveri. Šī grupa nodarbojas ar meklētājprogrammu optimizācijas (SEO) krāpšanu un augstvērtīgu akreditācijas datu, konfigurācijas failu un sertifikātu datu zādzību, radot ievērojamus riskus organizācijām visā pasaulē.
Satura rādītājs
Globālā sasniedzamība un mērķa profils
Grupas darbība galvenokārt ir novērota Indijā, Taizemē, Vjetnamā, Kanādā un Brazīlijā, ietekmējot universitātes, tehnoloģiju uzņēmumus un telekomunikāciju pakalpojumu sniedzējus. UAT-8099 uzbrukumi, kas pirmo reizi tika atklāti 2025. gada aprīlī, galvenokārt ir vērsti uz mobilo ierīču lietotājiem, aptverot gan Android, gan iOS ierīces.
Šis dalībnieks ir daļa no pieaugoša ar Ķīnu saistītu apdraudējumu klasteru viļņa, kas iesaistās SEO krāpšanā. Kontekstam – nesen cita dalībnieka, GhostRedirector, kampaņa apdraudēja vismaz 65 Windows serverus, izmantojot ļaunprātīgu IIS moduli ar koda nosaukumu Gamshen, kas bija vērsts uz līdzīgiem reģioniem.
Uzbrukuma metodes un sākotnējā piekļuve
UAT-8099 rūpīgi atlasa augstas vērtības IIS serverus mērķa reģionos un izmanto drošības ievainojamības vai vājas failu augšupielādes konfigurācijas. Viņu pieeja ietver:
- Tīmekļa čaulu augšupielāde, lai apkopotu sistēmas informāciju.
- Privilēģiju eskalācija, izmantojot viesa kontu, sasniedzot administratora līmeņa piekļuvi.
- Attālās darbvirsmas protokola (RDP) iespējošana nepārtrauktai piekļuvei.
Grupa arī veic pasākumus, lai nodrošinātu sākotnējo ietekmi, neļaujot citiem apdraudējuma dalībniekiem apdraudēt tos pašus serverus. Cobalt Strike tiek izmantots kā galvenās aizmugures durvis pēc ekspluatācijas darbībām.
Noturība un ļaunprogrammatūras izvietošana
Lai saglabātu ilgtermiņa kontroli, UAT-8099 apvieno RDP ar VPN rīkiem, piemēram, SoftEther VPN, EasyTier un Fast Reverse Proxy (FRP). Uzbrukumu ķēde kulminējas ar BadIIS ļaunprogrammatūras instalēšanu — rīku, ko izmanto vairāki ķīniešu valodā runājoši klasteri, tostarp DragonRank un Operation Rewrite (CL-UNK-1037).
Nonākot iekšā, aktieris izmanto GUI rīkus, piemēram, “Everything”, lai atrastu un izgūtu vērtīgus datus tālākpārdošanai vai tālākai izmantošanai. Precīzs apdraudēto serveru skaits joprojām nav zināms.
BadIIS ļaunprogrammatūra: režīmi un funkcionalitāte
Izvietotais BadIIS variants ir īpaši modificēts, lai izvairītos no pretvīrusu noteikšanas, un atspoguļo Gamshen funkcionalitāti. Tā SEO manipulācijas aktivizējas tikai tad, ja pieprasījumi nāk no Googlebot. BadIIS darbojas trīs galvenajos režīmos:
Starpniekservera režīms : izgūst kodētas C2 serveru adreses un izmanto tās kā starpniekserverus, lai izgūtu saturu no sekundārajiem serveriem.
Inžektora režīms : pārtver pārlūkprogrammas pieprasījumus no Google meklēšanas rezultātiem, izgūst JavaScript no C2 servera, iegulda to HTML atbildē un novirza lietotājus uz neatļautām vietnēm vai reklāmām.
SEO krāpšanas režīms : apdraud vairākus IIS serverus, lai mākslīgi uzlabotu meklētājprogrammu reitingu, izmantojot atpakaļsaites.
SEO krāpšana un atpakaļsaišu taktika
UAT-8099 izmanto atpakaļsaites, kas ir standarta SEO stratēģija, lai palielinātu vietnes redzamību. Google novērtē atpakaļsaites, lai atklātu jaunas lapas un novērtētu atslēgvārdu atbilstību. Lai gan vairāk atpakaļsaišu var uzlabot reitingu, sliktas kvalitātes vai mākslīgas atpakaļsaites var izraisīt Google sodus.
Apvienojot ļaunprogrammatūras izvietošanu, tīmekļa čaulas izmantošanu un stratēģisku atpakaļsaišu veidošanu, UAT-8099 spēj manipulēt ar meklēšanas rezultātiem un efektīvi monetizēt kompromitētus serverus, padarot tos par augsta riska dalībnieku SEO krāpšanas vidē.
