UAT-8099 SEO ਧੋਖਾਧੜੀ ਮੁਹਿੰਮ

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਹਾਲ ਹੀ ਵਿੱਚ UAT-8099 ਕੋਡਨੇਮ ਵਾਲੇ ਇੱਕ ਚੀਨੀ-ਭਾਸ਼ੀ ਸਾਈਬਰ ਅਪਰਾਧ ਸਮੂਹ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ, ਜੋ ਮਾਈਕ੍ਰੋਸਾਫਟ ਇੰਟਰਨੈੱਟ ਇਨਫਰਮੇਸ਼ਨ ਸਰਵਿਸਿਜ਼ (IIS) ਸਰਵਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੇ ਗੁੰਝਲਦਾਰ ਹਮਲਿਆਂ ਲਈ ਜ਼ਿੰਮੇਵਾਰ ਹੈ। ਇਹ ਸਮੂਹ ਸਰਚ ਇੰਜਨ ਔਪਟੀਮਾਈਜੇਸ਼ਨ (SEO) ਧੋਖਾਧੜੀ ਅਤੇ ਉੱਚ-ਮੁੱਲ ਵਾਲੇ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ, ਸੰਰਚਨਾ ਫਾਈਲਾਂ ਅਤੇ ਸਰਟੀਫਿਕੇਟ ਡੇਟਾ ਦੀ ਚੋਰੀ ਵਿੱਚ ਸ਼ਾਮਲ ਹੈ, ਜੋ ਦੁਨੀਆ ਭਰ ਦੇ ਸੰਗਠਨਾਂ ਲਈ ਮਹੱਤਵਪੂਰਨ ਜੋਖਮ ਪੈਦਾ ਕਰਦਾ ਹੈ।

ਗਲੋਬਲ ਪਹੁੰਚ ਅਤੇ ਟੀਚਾ ਪ੍ਰੋਫਾਈਲ

ਇਸ ਸਮੂਹ ਦੀ ਗਤੀਵਿਧੀ ਮੁੱਖ ਤੌਰ 'ਤੇ ਭਾਰਤ, ਥਾਈਲੈਂਡ, ਵੀਅਤਨਾਮ, ਕੈਨੇਡਾ ਅਤੇ ਬ੍ਰਾਜ਼ੀਲ ਵਿੱਚ ਦੇਖੀ ਗਈ ਹੈ, ਜੋ ਯੂਨੀਵਰਸਿਟੀਆਂ, ਤਕਨੀਕੀ ਫਰਮਾਂ ਅਤੇ ਦੂਰਸੰਚਾਰ ਪ੍ਰਦਾਤਾਵਾਂ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕਰਦੀ ਹੈ। ਪਹਿਲੀ ਵਾਰ ਅਪ੍ਰੈਲ 2025 ਵਿੱਚ ਖੋਜਿਆ ਗਿਆ, UAT-8099 ਦੇ ਹਮਲੇ ਮੁੱਖ ਤੌਰ 'ਤੇ ਮੋਬਾਈਲ ਉਪਭੋਗਤਾਵਾਂ 'ਤੇ ਕੇਂਦ੍ਰਿਤ ਸਨ, ਜੋ ਕਿ ਐਂਡਰਾਇਡ ਅਤੇ iOS ਦੋਵਾਂ ਡਿਵਾਈਸਾਂ ਨੂੰ ਫੈਲਾਉਂਦੇ ਹਨ।

ਇਹ ਅਦਾਕਾਰ SEO ਧੋਖਾਧੜੀ ਵਿੱਚ ਸ਼ਾਮਲ ਚੀਨ ਨਾਲ ਜੁੜੇ ਖਤਰੇ ਦੇ ਸਮੂਹਾਂ ਦੀ ਵੱਧ ਰਹੀ ਲਹਿਰ ਦਾ ਹਿੱਸਾ ਹੈ। ਸੰਦਰਭ ਲਈ, ਇੱਕ ਹੋਰ ਅਦਾਕਾਰ, GhostRedirector ਦੁਆਰਾ ਇੱਕ ਹਾਲੀਆ ਮੁਹਿੰਮ, ਨੇ Gamshen ਕੋਡਨੇਮ ਵਾਲੇ ਇੱਕ ਖਤਰਨਾਕ IIS ਮੋਡੀਊਲ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਘੱਟੋ-ਘੱਟ 65 ਵਿੰਡੋਜ਼ ਸਰਵਰਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤਾ, ਜੋ ਕਿ ਸਮਾਨ ਖੇਤਰਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ।

ਹਮਲੇ ਦੇ ਤਰੀਕੇ ਅਤੇ ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ

UAT-8099 ਨਿਸ਼ਾਨਾ ਖੇਤਰਾਂ ਵਿੱਚ ਉੱਚ-ਮੁੱਲ ਵਾਲੇ IIS ਸਰਵਰਾਂ ਦੀ ਧਿਆਨ ਨਾਲ ਚੋਣ ਕਰਦਾ ਹੈ ਅਤੇ ਸੁਰੱਖਿਆ ਕਮਜ਼ੋਰੀਆਂ ਜਾਂ ਕਮਜ਼ੋਰ ਫਾਈਲ ਅਪਲੋਡ ਸੰਰਚਨਾਵਾਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦਾ ਹੈ। ਉਹਨਾਂ ਦੇ ਪਹੁੰਚ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• ਸਿਸਟਮ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨ ਲਈ ਵੈੱਬ ਸ਼ੈੱਲ ਅੱਪਲੋਡ ਕੀਤੇ ਜਾ ਰਹੇ ਹਨ।
• ਮਹਿਮਾਨ ਖਾਤੇ ਰਾਹੀਂ ਵਿਸ਼ੇਸ਼ ਅਧਿਕਾਰਾਂ ਨੂੰ ਵਧਾਉਣਾ, ਪ੍ਰਸ਼ਾਸਕ-ਪੱਧਰ ਦੀ ਪਹੁੰਚ ਤੱਕ ਪਹੁੰਚਣਾ।
• ਨਿਰੰਤਰ ਪਹੁੰਚ ਲਈ ਰਿਮੋਟ ਡੈਸਕਟੌਪ ਪ੍ਰੋਟੋਕੋਲ (RDP) ਨੂੰ ਸਮਰੱਥ ਬਣਾਉਣਾ।

ਇਹ ਸਮੂਹ ਸ਼ੁਰੂਆਤੀ ਪੈਰ ਜਮਾਉਣ ਲਈ ਵੀ ਕਦਮ ਚੁੱਕਦਾ ਹੈ, ਦੂਜੇ ਖ਼ਤਰੇ ਵਾਲੇ ਕਾਰਕਾਂ ਨੂੰ ਉਸੇ ਸਰਵਰਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ ਤੋਂ ਰੋਕਦਾ ਹੈ। ਕੋਬਾਲਟ ਸਟ੍ਰਾਈਕ ਨੂੰ ਸ਼ੋਸ਼ਣ ਤੋਂ ਬਾਅਦ ਦੀ ਗਤੀਵਿਧੀ ਲਈ ਮੁੱਖ ਬੈਕਡੋਰ ਵਜੋਂ ਤਾਇਨਾਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।

ਸਥਿਰਤਾ ਅਤੇ ਮਾਲਵੇਅਰ ਤੈਨਾਤੀ

ਲੰਬੇ ਸਮੇਂ ਦੇ ਨਿਯੰਤਰਣ ਨੂੰ ਬਣਾਈ ਰੱਖਣ ਲਈ, UAT-8099 RDP ਨੂੰ VPN ਟੂਲਸ ਜਿਵੇਂ ਕਿ SoftEther VPN, EasyTier, ਅਤੇ Fast Reverse Proxy (FRP) ਨਾਲ ਜੋੜਦਾ ਹੈ। ਹਮਲੇ ਦੀ ਲੜੀ BadIIS ਮਾਲਵੇਅਰ ਦੀ ਸਥਾਪਨਾ ਦੇ ਨਾਲ ਸਮਾਪਤ ਹੁੰਦੀ ਹੈ, ਜੋ ਕਿ ਕਈ ਚੀਨੀ ਬੋਲਣ ਵਾਲੇ ਕਲੱਸਟਰਾਂ ਦੁਆਰਾ ਵਰਤਿਆ ਜਾਣ ਵਾਲਾ ਇੱਕ ਟੂਲ ਹੈ ਜਿਸ ਵਿੱਚ DragonRank ਅਤੇ Operation Rewrite (CL-UNK-1037) ਸ਼ਾਮਲ ਹਨ।

ਇੱਕ ਵਾਰ ਅੰਦਰ ਜਾਣ ਤੋਂ ਬਾਅਦ, ਅਦਾਕਾਰ ਕੀਮਤੀ ਡੇਟਾ ਨੂੰ ਮੁੜ ਵਿਕਰੀ ਜਾਂ ਹੋਰ ਸ਼ੋਸ਼ਣ ਲਈ ਲੱਭਣ ਅਤੇ ਬਾਹਰ ਕੱਢਣ ਲਈ GUI ਟੂਲਸ ਜਿਵੇਂ ਕਿ Everything ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਸਮਝੌਤਾ ਕੀਤੇ ਸਰਵਰਾਂ ਦੀ ਸਹੀ ਗਿਣਤੀ ਅਣਜਾਣ ਹੈ।

The BadIIS ਮਾਲਵੇਅਰ: ਮੋਡ ਅਤੇ ਕਾਰਜਸ਼ੀਲਤਾ

ਤੈਨਾਤ BadIIS ਵੇਰੀਐਂਟ ਨੂੰ ਐਂਟੀਵਾਇਰਸ ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਵਿਸ਼ੇਸ਼ ਤੌਰ 'ਤੇ ਸੋਧਿਆ ਗਿਆ ਹੈ ਅਤੇ ਇਹ Gamshen ਦੀ ਕਾਰਜਸ਼ੀਲਤਾ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ। ਇਸਦਾ SEO ਹੇਰਾਫੇਰੀ ਸਿਰਫ਼ ਉਦੋਂ ਹੀ ਕਿਰਿਆਸ਼ੀਲ ਹੁੰਦਾ ਹੈ ਜਦੋਂ Googlebot ਤੋਂ ਬੇਨਤੀਆਂ ਆਉਂਦੀਆਂ ਹਨ। BadIIS ਤਿੰਨ ਮੁੱਖ ਮੋਡਾਂ ਵਿੱਚ ਕੰਮ ਕਰਦਾ ਹੈ:

ਪ੍ਰੌਕਸੀ ਮੋਡ : ਏਨਕੋਡ ਕੀਤੇ C2 ਸਰਵਰ ਪਤਿਆਂ ਨੂੰ ਕੱਢਦਾ ਹੈ ਅਤੇ ਸੈਕੰਡਰੀ ਸਰਵਰਾਂ ਤੋਂ ਸਮੱਗਰੀ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਉਹਨਾਂ ਨੂੰ ਪ੍ਰੌਕਸੀ ਵਜੋਂ ਵਰਤਦਾ ਹੈ।

ਇੰਜੈਕਟਰ ਮੋਡ : ਗੂਗਲ ਸਰਚ ਨਤੀਜਿਆਂ ਤੋਂ ਬ੍ਰਾਊਜ਼ਰ ਬੇਨਤੀਆਂ ਨੂੰ ਰੋਕਦਾ ਹੈ, C2 ਸਰਵਰ ਤੋਂ ਜਾਵਾ ਸਕ੍ਰਿਪਟ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ, ਇਸਨੂੰ HTML ਜਵਾਬ ਵਿੱਚ ਸ਼ਾਮਲ ਕਰਦਾ ਹੈ, ਅਤੇ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਅਣਅਧਿਕਾਰਤ ਸਾਈਟਾਂ ਜਾਂ ਇਸ਼ਤਿਹਾਰਾਂ ਵੱਲ ਰੀਡਾਇਰੈਕਟ ਕਰਦਾ ਹੈ।

SEO ਧੋਖਾਧੜੀ ਮੋਡ : ਬੈਕਲਿੰਕਸ ਦੀ ਵਰਤੋਂ ਕਰਕੇ ਖੋਜ ਇੰਜਣ ਦਰਜਾਬੰਦੀ ਨੂੰ ਨਕਲੀ ਤੌਰ 'ਤੇ ਵਧਾਉਣ ਲਈ ਕਈ IIS ਸਰਵਰਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰਦਾ ਹੈ।

SEO ਧੋਖਾਧੜੀ ਅਤੇ ਬੈਕਲਿੰਕਿੰਗ ਰਣਨੀਤੀਆਂ

UAT-8099 ਵੈੱਬਸਾਈਟ ਦੀ ਦਿੱਖ ਵਧਾਉਣ ਲਈ ਬੈਕਲਿੰਕਿੰਗ, ਇੱਕ ਮਿਆਰੀ SEO ਰਣਨੀਤੀ, ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਗੂਗਲ ਨਵੇਂ ਪੰਨਿਆਂ ਦੀ ਖੋਜ ਕਰਨ ਅਤੇ ਕੀਵਰਡ ਸਾਰਥਕਤਾ ਨੂੰ ਮਾਪਣ ਲਈ ਬੈਕਲਿੰਕਸ ਦਾ ਮੁਲਾਂਕਣ ਕਰਦਾ ਹੈ। ਜਦੋਂ ਕਿ ਵਧੇਰੇ ਬੈਕਲਿੰਕਸ ਰੈਂਕਿੰਗ ਵਿੱਚ ਸੁਧਾਰ ਕਰ ਸਕਦੇ ਹਨ, ਮਾੜੀ-ਗੁਣਵੱਤਾ ਜਾਂ ਨਕਲੀ ਬੈਕਲਿੰਕਸ ਗੂਗਲ ਤੋਂ ਜੁਰਮਾਨੇ ਕਰਵਾ ਸਕਦੇ ਹਨ।

ਮਾਲਵੇਅਰ ਤੈਨਾਤੀ, ਵੈੱਬ ਸ਼ੈੱਲ ਵਰਤੋਂ, ਅਤੇ ਰਣਨੀਤਕ ਬੈਕਲਿੰਕਿੰਗ ਨੂੰ ਜੋੜ ਕੇ, UAT-8099 ਖੋਜ ਨਤੀਜਿਆਂ ਨੂੰ ਹੇਰਾਫੇਰੀ ਕਰਨ ਅਤੇ ਸਮਝੌਤਾ ਕੀਤੇ ਸਰਵਰਾਂ ਨੂੰ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਮੁਦਰੀਕਰਨ ਕਰਨ ਦੇ ਯੋਗ ਹੈ, ਜਿਸ ਨਾਲ ਉਹ SEO ਧੋਖਾਧੜੀ ਦੇ ਦ੍ਰਿਸ਼ ਵਿੱਚ ਇੱਕ ਉੱਚ-ਜੋਖਮ ਵਾਲਾ ਅਦਾਕਾਰ ਬਣ ਜਾਂਦਾ ਹੈ।