UAT-8099 SEO-svindelkampanje
Forskere innen nettsikkerhet har nylig avdekket en kinesisktalende nettkriminalitetsgruppe med kodenavnet UAT-8099, som er ansvarlig for sofistikerte angrep rettet mot Microsoft Internet Information Services (IIS)-servere. Denne gruppen driver med søkemotoroptimaliseringssvindel (SEO) og tyveri av verdifull legitimasjon, konfigurasjonsfiler og sertifikatdata, noe som utgjør en betydelig risiko for organisasjoner over hele verden.
Innholdsfortegnelse
Global rekkevidde og målprofil
Gruppens aktivitet har hovedsakelig blitt observert i India, Thailand, Vietnam, Canada og Brasil, og har påvirket universiteter, teknologiselskaper og telekomleverandører. UAT-8099-angrepene, som først ble oppdaget i april 2025, fokuserer hovedsakelig på mobilbrukere, og omfatter både Android- og iOS-enheter.
Denne aktøren er en del av en økende bølge av Kina-tilknyttede trusselklynger som driver med SEO-svindel. For kontekst kan man nevne at en nylig kampanje fra en annen aktør, GhostRedirector, kompromitterte minst 65 Windows-servere ved hjelp av en ondsinnet IIS-modul med kodenavnet Gamshen, som var rettet mot lignende regioner.
Angrepsmetoder og førstegangs tilgang
UAT-8099 velger nøye ut verdifulle IIS-servere i målregioner og utnytter sikkerhetsproblemer eller svake konfigurasjoner for filopplasting. Tilnærmingen deres innebærer:
- Laster opp webshells for å samle systeminformasjon.
- Eskalering av rettigheter via gjestekontoen, og oppnåelse av tilgang på administratornivå.
- Aktiverer Remote Desktop Protocol (RDP) for fortsatt tilgang.
Gruppen tar også grep for å sikre et første fotfeste, og forhindre at andre trusselaktører kompromitterer de samme serverne. Cobalt Strike brukes som den primære bakdøren for aktivitet etter utnyttelse.
Persistens og distribusjon av skadelig programvare
For å opprettholde langsiktig kontroll kombinerer UAT-8099 RDP med VPN-verktøy som SoftEther VPN, EasyTier og Fast Reverse Proxy (FRP). Angrepskjeden kulminerer med installasjon av BadIIS-skadevare, et verktøy som brukes av flere kinesisktalende klynger, inkludert DragonRank og Operation Rewrite (CL-UNK-1037).
Når de er inne, bruker aktøren grafiske brukergrensesnitt som Everything for å finne og utvinne verdifulle data for videresalg eller videre utnyttelse. Det nøyaktige antallet kompromitterte servere er fortsatt ukjent.
BadIIS Malware: Modi og funksjonalitet
Den distribuerte BadIIS-varianten er spesielt modifisert for å unngå antivirusdeteksjon og gjenspeiler funksjonaliteten til Gamshen. SEO-manipulasjonen aktiveres bare når forespørsler kommer fra Googlebot. BadIIS opererer i tre hovedmoduser:
Proxy-modus : Trekker ut kodede C2-serveradresser og bruker dem som proxyer for å hente innhold fra sekundære servere.
Injektormodus : Avskjærer nettleserforespørsler fra Googles søkeresultater, henter JavaScript fra C2-serveren, bygger det inn i HTML-svaret og omdirigerer brukere til uautoriserte nettsteder eller annonser.
SEO-svindelmodus : Kompromitterer flere IIS-servere for kunstig å øke rangeringen i søkemotorer ved hjelp av tilbakelenker.
SEO-svindel og backlinking-taktikker
UAT-8099 bruker tilbakekoblinger, en standard SEO-strategi, for å øke synligheten til nettstedet. Google evaluerer tilbakekoblinger for å oppdage nye sider og måle søkeordrelevans. Selv om flere tilbakekoblinger kan forbedre rangeringene, kan tilbakekoblinger av dårlig kvalitet eller kunstige tilbakekoblinger utløse straffer fra Google.
Ved å kombinere utrulling av skadelig programvare, bruk av web shell og strategisk tilbakekobling, er UAT-8099 i stand til å manipulere søkeresultater og effektivt tjene penger på kompromitterte servere, noe som gjør dem til en høyrisikoaktør i SEO-svindellandskapet.
