Kampania oszustw SEO UAT-8099
Badacze cyberbezpieczeństwa odkryli niedawno chińskojęzyczną grupę cyberprzestępczą o kryptonimie UAT-8099, odpowiedzialną za zaawansowane ataki na serwery Microsoft Internet Information Services (IIS). Grupa ta zajmuje się oszustwami związanymi z optymalizacją wyszukiwarek (SEO) oraz kradzieżą cennych danych uwierzytelniających, plików konfiguracyjnych i certyfikatów, stwarzając poważne zagrożenie dla organizacji na całym świecie.
Spis treści
Globalny zasięg i profil docelowy
Aktywność grupy obserwowano głównie w Indiach, Tajlandii, Wietnamie, Kanadzie i Brazylii, atakując uniwersytety, firmy technologiczne i dostawców usług telekomunikacyjnych. Ataki UAT-8099, wykryte po raz pierwszy w kwietniu 2025 roku, koncentrują się głównie na użytkownikach urządzeń mobilnych, zarówno z systemem Android, jak i iOS.
Ten aktor jest częścią rosnącej fali powiązanych z Chinami klastrów zagrożeń zaangażowanych w oszustwa SEO. Dla porównania, niedawna kampania innego aktora, GhostRedirector, zaatakowała co najmniej 65 serwerów Windows za pomocą złośliwego modułu IIS o nazwie kodowej Gamshen, atakując podobne regiony.
Metody ataków i początkowy dostęp
UAT-8099 starannie wybiera serwery IIS o wysokiej wartości w regionach docelowych i wykorzystuje luki w zabezpieczeniach lub słabe konfiguracje przesyłania plików. Ich podejście obejmuje:
- Przesyłanie powłok internetowych w celu zebrania informacji o systemie.
- Zwiększanie uprawnień za pośrednictwem konta gościa, osiąganie poziomu dostępu administratora.
- Włącz protokół RDP (Remote Desktop Protocol) w celu zapewnienia ciągłego dostępu.
Grupa podejmuje również kroki w celu zabezpieczenia początkowego punktu zaczepienia, uniemożliwiając innym atakującym włamanie się na te same serwery. Cobalt Strike jest wykorzystywany jako główne tylne wejście do działań po ataku.
Trwałość i wdrażanie złośliwego oprogramowania
Aby utrzymać długoterminową kontrolę, UAT-8099 łączy protokół RDP z narzędziami VPN, takimi jak SoftEther VPN, EasyTier i Fast Reverse Proxy (FRP). Łańcuch ataku kończy się instalacją złośliwego oprogramowania BadIIS, narzędzia używanego przez wiele klastrów chińskojęzycznych, w tym DragonRank i Operation Rewrite (CL-UNK-1037).
Po wniknięciu do środka atakujący używa narzędzi graficznych, takich jak Everything, do lokalizowania i wykradania cennych danych w celu ich odsprzedaży lub dalszego wykorzystania. Dokładna liczba zainfekowanych serwerów pozostaje nieznana.
Złośliwe oprogramowanie BadIIS: tryby i funkcjonalność
Wdrożony wariant BadIIS został specjalnie zmodyfikowany, aby uniknąć wykrycia przez program antywirusowy i odzwierciedla funkcjonalność Gamshen. Jego manipulacja SEO jest aktywowana tylko wtedy, gdy żądania pochodzą od Googlebota. BadIIS działa w trzech głównych trybach:
Tryb proxy : wyodrębnia zakodowane adresy serwerów C2 i używa ich jako serwerów proxy do pobierania treści z serwerów pomocniczych.
Tryb wstrzykiwacza : przechwytuje żądania przeglądarki z wyników wyszukiwania Google, pobiera JavaScript z serwera C2, osadza go w odpowiedzi HTML i przekierowuje użytkowników do nieautoryzowanych witryn lub reklam.
Tryb oszustwa SEO : narusza wiele serwerów IIS w celu sztucznego podwyższenia pozycji w wynikach wyszukiwania za pomocą linków zwrotnych.
Oszustwa SEO i taktyki backlinkowania
Norma UAT-8099 wykorzystuje backlinking, standardową strategię SEO, w celu zwiększenia widoczności witryny. Google analizuje backlinki, aby odkrywać nowe strony i mierzyć trafność słów kluczowych. Chociaż większa liczba backlinków może poprawić pozycję w wynikach wyszukiwania, linki niskiej jakości lub sztuczne mogą skutkować karami od Google.
Łącząc wdrażanie złośliwego oprogramowania, wykorzystanie powłoki internetowej i strategiczne tworzenie linków zwrotnych, UAT-8099 jest w stanie skutecznie manipulować wynikami wyszukiwania i monetyzować naruszone serwery, co czyni go podmiotem wysokiego ryzyka w obszarze oszustw SEO.
