UAT-8099 SEO ठगी अभियान

साइबर सुरक्षा अनुसन्धानकर्ताहरूले हालै UAT-8099 कोडनाम भएको चिनियाँ भाषा बोल्ने साइबर अपराध समूहको पर्दाफास गरेका छन्, जुन माइक्रोसफ्ट इन्टरनेट सूचना सेवा (IIS) सर्भरहरूलाई लक्षित गर्ने परिष्कृत आक्रमणहरूको लागि जिम्मेवार छ। यो समूह खोज इन्जिन अप्टिमाइजेसन (SEO) ठगी र उच्च-मूल्य प्रमाणहरू, कन्फिगरेसन फाइलहरू, र प्रमाणपत्र डेटाको चोरीमा संलग्न छ, जसले विश्वव्यापी संस्थाहरूलाई महत्त्वपूर्ण जोखिम निम्त्याउँछ।

विश्वव्यापी पहुँच र लक्ष्य प्रोफाइल

समूहको गतिविधि मुख्यतया भारत, थाइल्याण्ड, भियतनाम, क्यानडा र ब्राजिलमा अवलोकन गरिएको छ, जसले विश्वविद्यालयहरू, प्राविधिक फर्महरू र दूरसञ्चार प्रदायकहरूलाई असर गरिरहेको छ। अप्रिल २०२५ मा पहिलो पटक पत्ता लागेको UAT-8099 को आक्रमणहरू मुख्यतया मोबाइल प्रयोगकर्ताहरूमा केन्द्रित छन्, जुन एन्ड्रोइड र iOS दुवै उपकरणहरूमा फैलिएका छन्।

यो अभिनेता SEO ठगीमा संलग्न चीन-सम्बन्धित खतरा समूहहरूको बढ्दो लहरको हिस्सा हो। सन्दर्भको लागि, अर्को अभिनेता, GhostRedirector द्वारा हालै गरिएको अभियानले Gamshen कोडनेम गरिएको दुर्भावनापूर्ण IIS मोड्युल प्रयोग गरेर कम्तिमा ६५ विन्डोज सर्भरहरूलाई सम्झौता गरेको थियो, जसले समान क्षेत्रहरूलाई लक्षित गर्‍यो।

आक्रमण विधिहरू र प्रारम्भिक पहुँच

UAT-8099 ले लक्षित क्षेत्रहरूमा उच्च-मूल्यवान IIS सर्भरहरू सावधानीपूर्वक चयन गर्दछ र सुरक्षा कमजोरीहरू वा कमजोर फाइल अपलोड कन्फिगरेसनहरूको शोषण गर्दछ। तिनीहरूको दृष्टिकोणमा समावेश छ:

• प्रणाली जानकारी सङ्कलन गर्न वेब शेलहरू अपलोड गर्दै।
• अतिथि खाता मार्फत विशेषाधिकारहरू बढाउँदै, प्रशासक-स्तर पहुँचमा पुग्दै।
• निरन्तर पहुँचको लागि रिमोट डेस्कटप प्रोटोकल (RDP) सक्षम पार्दै।

समूहले अन्य खतरा अभिनेताहरूलाई उही सर्भरहरूमा सम्झौता गर्नबाट रोक्नको लागि प्रारम्भिक आधार सुरक्षित गर्न पनि कदम चाल्छ। कोबाल्ट स्ट्राइकलाई शोषण पछिको गतिविधिको लागि प्राथमिक ब्याकडोरको रूपमा तैनाथ गरिएको छ।

निरन्तरता र मालवेयर तैनाती

दीर्घकालीन नियन्त्रण कायम राख्न, UAT-8099 ले RDP लाई SoftEther VPN, EasyTier, र Fast Reverse Proxy (FRP) जस्ता VPN उपकरणहरूसँग संयोजन गर्दछ। आक्रमण श्रृंखला BadIIS मालवेयरको स्थापनासँगै समाप्त हुन्छ, जुन DragonRank र Operation Rewrite (CL-UNK-1037) सहित धेरै चिनियाँ-भाषी क्लस्टरहरू द्वारा प्रयोग गरिने उपकरण हो।

भित्र पसेपछि, अभिनेताले पुन: बिक्री वा थप शोषणको लागि बहुमूल्य डेटा पत्ता लगाउन र निकाल्न एभ्रिथिङ जस्ता GUI उपकरणहरू प्रयोग गर्दछ। सम्झौता गरिएका सर्भरहरूको सही संख्या अज्ञात रहन्छ।

BadIIS मालवेयर: मोड र कार्यक्षमता

तैनाथ गरिएको BadIIS भेरियन्टलाई एन्टिभाइरस पत्ता लगाउनबाट बच्न विशेष रूपमा परिमार्जन गरिएको छ र Gamshen को कार्यक्षमतालाई प्रतिबिम्बित गर्दछ। यसको SEO हेरफेर Googlebot बाट अनुरोधहरू उत्पन्न हुँदा मात्र सक्रिय हुन्छ। BadIIS तीन मुख्य मोडहरूमा सञ्चालन हुन्छ:

प्रोक्सी मोड : एन्कोड गरिएका C2 सर्भर ठेगानाहरू निकाल्छ र माध्यमिक सर्भरहरूबाट सामग्री पुन: प्राप्त गर्न प्रोक्सीको रूपमा प्रयोग गर्दछ।

इन्जेक्टर मोड : गुगल खोज परिणामहरूबाट ब्राउजर अनुरोधहरूलाई रोक्छ, C2 सर्भरबाट जाभास्क्रिप्ट पुन: प्राप्त गर्छ, यसलाई HTML प्रतिक्रियामा इम्बेड गर्छ, र प्रयोगकर्ताहरूलाई अनधिकृत साइटहरू वा विज्ञापनहरूमा रिडिरेक्ट गर्छ।

SEO धोखाधडी मोड : ब्याकलिङ्कहरू प्रयोग गरेर खोज इन्जिन श्रेणीकरणलाई कृत्रिम रूपमा बढाउन धेरै IIS सर्भरहरूसँग सम्झौता गर्दछ।

SEO धोखाधडी र ब्याकलिङ्किङ रणनीतिहरू

UAT-8099 ले वेबसाइटको दृश्यता बढाउन ब्याकलिङ्किङ, एक मानक SEO रणनीति प्रयोग गर्दछ। गुगलले नयाँ पृष्ठहरू पत्ता लगाउन र किवर्ड सान्दर्भिकता मापन गर्न ब्याकलिङ्कहरूको मूल्याङ्कन गर्दछ। धेरै ब्याकलिङ्कहरूले श्रेणीकरण सुधार गर्न सक्छन्, तर खराब-गुणस्तर वा कृत्रिम ब्याकलिङ्कहरूले गुगलबाट जरिवाना ट्रिगर गर्न सक्छन्।

मालवेयर डिप्लोयमेन्ट, वेब शेल प्रयोग, र रणनीतिक ब्याकलिङ्किङलाई संयोजन गरेर, UAT-8099 ले खोज परिणामहरूलाई हेरफेर गर्न र सम्झौता गरिएका सर्भरहरूलाई प्रभावकारी रूपमा मुद्रीकरण गर्न सक्षम छ, जसले गर्दा तिनीहरूलाई SEO ठगी परिदृश्यमा उच्च-जोखिम अभिनेता बनाउँछ।