Кампания по SEO-мошенничеству UAT-8099
Исследователи кибербезопасности недавно раскрыли китайскоязычную киберпреступную группировку под кодовым названием UAT-8099, ответственную за сложные атаки на серверы Microsoft Internet Information Services (IIS). Эта группировка занимается мошенничеством в сфере поисковой оптимизации (SEO) и кражей ценных учётных данных, файлов конфигурации и данных сертификатов, что представляет серьёзную угрозу для организаций по всему миру.
Оглавление
Глобальный охват и целевой профиль
Активность группы наблюдалась преимущественно в Индии, Таиланде, Вьетнаме, Канаде и Бразилии, затрагивая университеты, технологические компании и операторов связи. Атаки UAT-8099, впервые обнаруженные в апреле 2025 года, в основном направлены на мобильных пользователей, работающих на устройствах Android и iOS.
Этот злоумышленник входит в растущую волну связанных с Китаем кластеров угроз, занимающихся SEO-мошенничеством. Для справки: недавняя кампания другого злоумышленника, GhostRedirector, скомпрометировала как минимум 65 серверов Windows, используя вредоносный модуль IIS под кодовым названием Gamshen, нацеленный на аналогичные регионы.
Методы атаки и первоначальный доступ
UAT-8099 тщательно выбирает важные серверы IIS в целевых регионах и использует уязвимости безопасности или ненадежные конфигурации загрузки файлов. Их подход включает:
- Загрузка веб-оболочек для сбора информации о системе.
- Расширение привилегий через гостевую учетную запись, достижение уровня администратора.
- Включение протокола удаленного рабочего стола (RDP) для постоянного доступа.
Группа также предпринимает шаги по защите первоначальной базы, предотвращая взлом тех же серверов другими злоумышленниками. Cobalt Strike используется в качестве основного бэкдора для последующей эксплуатации уязвимости.
Устойчивость и развертывание вредоносного ПО
Для обеспечения долгосрочного контроля UAT-8099 использует RDP с VPN-инструментами, такими как SoftEther VPN, EasyTier и Fast Reverse Proxy (FRP). Цепочка атаки завершается установкой вредоносного ПО BadIIS, используемого несколькими китайскоязычными кластерами, включая DragonRank и Operation Rewrite (CL-UNK-1037).
Оказавшись внутри системы, злоумышленник использует инструменты графического интерфейса, такие как Everything, для поиска и извлечения ценных данных для перепродажи или дальнейшего использования. Точное количество скомпрометированных серверов остаётся неизвестным.
Вредоносная программа BadIIS: режимы и функциональность
Развёрнутый вариант BadIIS был специально модифицирован для обхода обнаружения антивирусами и повторяет функционал Gamshen. Его SEO-манипуляции активируются только при запросах от Googlebot. BadIIS работает в трёх основных режимах:
Режим прокси : извлекает закодированные адреса серверов C2 и использует их в качестве прокси-серверов для получения контента со вторичных серверов.
Режим инжектора : перехватывает запросы браузера из результатов поиска Google, извлекает JavaScript с сервера C2, встраивает его в ответ HTML и перенаправляет пользователей на неавторизованные сайты или рекламные объявления.
Режим SEO-мошенничества : взламывает несколько серверов IIS для искусственного повышения рейтинга в поисковой системе с помощью обратных ссылок.
SEO-мошенничество и тактика обратных ссылок
UAT-8099 использует обратные ссылки, стандартную стратегию SEO, для повышения видимости сайта. Google анализирует обратные ссылки, чтобы находить новые страницы и оценивать релевантность ключевых слов. Хотя большее количество обратных ссылок может улучшить позиции в поисковой выдаче, некачественные или искусственные ссылки могут привести к штрафным санкциям со стороны Google.
Объединяя развертывание вредоносного ПО, использование веб-оболочки и стратегические обратные ссылки, UAT-8099 способен эффективно манипулировать результатами поиска и монетизировать скомпрометированные серверы, что делает их высокорискованным игроком в сфере SEO-мошенничества.
