Kempen Penipuan SEO UAT-8099
Penyelidik keselamatan siber baru-baru ini telah menemui kumpulan jenayah siber berbahasa Cina dengan nama kod UAT-8099, yang bertanggungjawab untuk serangan canggih yang menyasarkan pelayan Microsoft Internet Information Services (IIS). Kumpulan ini terlibat dalam penipuan pengoptimuman enjin carian (SEO) dan pencurian kelayakan bernilai tinggi, fail konfigurasi dan data sijil, yang menimbulkan risiko besar kepada organisasi di seluruh dunia.
Isi kandungan
Jangkauan Global dan Profil Sasaran
Aktiviti kumpulan telah diperhatikan terutamanya di India, Thailand, Vietnam, Kanada dan Brazil, yang menjejaskan universiti, firma teknologi dan penyedia telekomunikasi. Mula-mula dikesan pada April 2025, serangan UAT-8099 tertumpu terutamanya pada pengguna mudah alih, merangkumi kedua-dua peranti Android dan iOS.
Pelakon ini adalah sebahagian daripada gelombang kelompok ancaman berkaitan China yang semakin meningkat yang terlibat dalam penipuan SEO. Untuk konteks, kempen baru-baru ini oleh pelakon lain, GhostRedirector, telah menjejaskan sekurang-kurangnya 65 pelayan Windows menggunakan modul IIS berniat jahat bernama Gamshen, menyasarkan kawasan yang serupa.
Kaedah Serangan dan Akses Awal
UAT-8099 memilih pelayan IIS bernilai tinggi dengan teliti di kawasan sasaran dan mengeksploitasi kelemahan keselamatan atau konfigurasi muat naik fail yang lemah. Pendekatan mereka melibatkan:
- Memuat naik cangkerang web untuk mengumpulkan maklumat sistem.
- Keistimewaan yang meningkat melalui akaun tetamu, mencapai akses peringkat pentadbir.
- Mendayakan Protokol Desktop Jauh (RDP) untuk akses berterusan.
Kumpulan itu juga mengambil langkah untuk mendapatkan kedudukan awal, menghalang pelaku ancaman lain daripada menjejaskan pelayan yang sama. Cobalt Strike digunakan sebagai pintu belakang utama untuk aktiviti pasca eksploitasi.
Kegigihan dan Penyebaran Perisian Hasad
Untuk mengekalkan kawalan jangka panjang, UAT-8099 menggabungkan RDP dengan alatan VPN seperti SoftEther VPN, EasyTier dan Fast Reverse Proxy (FRP). Rantaian serangan memuncak dengan pemasangan perisian hasad BadIIS, alat yang digunakan oleh berbilang kelompok berbahasa Cina termasuk DragonRank dan Operation Rewrite (CL-UNK-1037).
Sebaik sahaja di dalam, pelakon menggunakan alat GUI seperti Semuanya untuk mencari dan mengeluarkan data berharga untuk dijual semula atau eksploitasi selanjutnya. Bilangan sebenar pelayan yang terjejas masih tidak diketahui.
Perisian Hasad BadIIS: Mod dan Kefungsian
Varian BadIIS yang digunakan telah diubah suai secara khusus untuk mengelakkan pengesanan antivirus dan mencerminkan kefungsian Gamshen. Manipulasi SEOnya diaktifkan hanya apabila permintaan berasal daripada Googlebot. BadIIS beroperasi dalam tiga mod utama:
Mod Proksi : Mengekstrak alamat pelayan C2 yang dikodkan dan menggunakannya sebagai proksi untuk mendapatkan semula kandungan daripada pelayan sekunder.
Mod Penyuntik : Memintas permintaan penyemak imbas daripada hasil carian Google, mendapatkan semula JavaScript daripada pelayan C2, membenamkannya ke dalam respons HTML dan mengubah hala pengguna ke tapak atau iklan yang tidak dibenarkan.
Mod Penipuan SEO : Mengkompromi berbilang pelayan IIS untuk meningkatkan kedudukan enjin carian secara buatan menggunakan pautan balik.
Penipuan SEO dan Taktik Pautan Balik
UAT-8099 menggunakan pautan balik, strategi SEO standard, untuk meningkatkan keterlihatan tapak web. Google menilai pautan balik untuk menemui halaman baharu dan mengukur perkaitan kata kunci. Walaupun lebih banyak pautan balik boleh meningkatkan kedudukan, pautan balik berkualiti rendah atau tiruan boleh mencetuskan penalti daripada Google.
Dengan menggabungkan penggunaan perisian hasad, penggunaan cangkerang web dan pautan balik strategik, UAT-8099 dapat memanipulasi hasil carian dan mengewangkan pelayan yang terjejas dengan berkesan, menjadikan mereka pelakon berisiko tinggi dalam landskap penipuan SEO.
