Kampaň podvodov s SEO UAT-8099
Výskumníci v oblasti kybernetickej bezpečnosti nedávno odhalili čínsky hovoriacu skupinu kyberzločincov s kódovým označením UAT-8099, ktorá je zodpovedná za sofistikované útoky zamerané na servery spoločnosti Microsoft Internet Information Services (IIS). Táto skupina sa zaoberá podvodmi s optimalizáciou pre vyhľadávače (SEO) a krádežou cenných prihlasovacích údajov, konfiguračných súborov a údajov o certifikátoch, čo predstavuje značné riziko pre organizácie na celom svete.
Obsah
Globálny dosah a cieľový profil
Aktivita skupiny bola pozorovaná predovšetkým v Indii, Thajsku, Vietname, Kanade a Brazílii a postihla univerzity, technologické firmy a telekomunikačných poskytovateľov. Útoky skupiny UAT-8099, ktoré boli prvýkrát zistené v apríli 2025, sa zameriavajú najmä na mobilných používateľov zariadení so systémom Android aj iOS.
Tento aktér je súčasťou rastúcej vlny klastrov hrozieb prepojených s Čínou, ktoré sa zapájajú do SEO podvodov. Pre porovnanie, nedávna kampaň iného aktéra, GhostRedirector, napadla najmenej 65 serverov so systémom Windows pomocou škodlivého modulu IIS s kódovým označením Gamshen a zamerala sa na podobné regióny.
Metódy útoku a počiatočný prístup
UAT-8099 starostlivo vyberá vysokohodnotné servery IIS v cieľových regiónoch a zneužíva bezpečnostné zraniteľnosti alebo slabé konfigurácie nahrávania súborov. Ich prístup zahŕňa:
- Nahrávanie webových prostredí na zhromažďovanie systémových informácií.
- Zvyšovanie privilégií prostredníctvom hosťovského účtu, dosiahnutie prístupu na úrovni správcu.
- Povolenie protokolu RDP (Remote Desktop Protocol) pre nepretržitý prístup.
Skupina tiež podniká kroky na zabezpečenie počiatočnej pozície a zabraňuje iným aktérom v napadnutí rovnakých serverov. Cobalt Strike je nasadený ako primárny zadný vrátok pre aktivity po zneužití.
Perzistencia a nasadenie škodlivého softvéru
Pre udržanie dlhodobej kontroly UAT-8099 kombinuje RDP s nástrojmi VPN, ako sú SoftEther VPN, EasyTier a Fast Reverse Proxy (FRP). Útočný reťazec vrcholí inštaláciou malvéru BadIIS, nástroja používaného viacerými čínsky hovoriacimi klastrami vrátane DragonRank a Operation Rewrite (CL-UNK-1037).
Po vstupe do zariadenia útočník použije grafické nástroje, ako napríklad Everything, na lokalizáciu a exfiltráciu cenných údajov na ďalší predaj alebo ďalšie zneužitie. Presný počet napadnutých serverov zostáva neznámy.
Malvér BadIIS: režimy a funkčnosť
Nasadený variant BadIIS bol špeciálne upravený tak, aby sa vyhol detekcii antivírusom a kopíruje funkčnosť Gamshen. Jeho SEO manipulácia sa aktivuje iba vtedy, keď požiadavky pochádzajú od Googlebota. BadIIS funguje v troch hlavných režimoch:
Režim proxy : Extrahuje kódované adresy serverov C2 a používa ich ako proxy na načítanie obsahu zo sekundárnych serverov.
Režim injektora : Zachytáva požiadavky prehliadača z výsledkov vyhľadávania Google, načítava JavaScript zo servera C2, vkladá ho do odpovede HTML a presmeruje používateľov na neoprávnené stránky alebo reklamy.
Režim SEO podvodu : Naruší viacero serverov IIS s cieľom umelo zvýšiť poradie vo vyhľadávačoch pomocou spätných odkazov.
SEO podvody a taktiky spätných odkazov
UAT-8099 využíva spätné odkazy, štandardnú SEO stratégiu, na zvýšenie viditeľnosti webových stránok. Google vyhodnocuje spätné odkazy, aby objavil nové stránky a zmeral relevantnosť kľúčových slov. Zatiaľ čo viac spätných odkazov môže zlepšiť poradie, nekvalitné alebo umelé spätné odkazy môžu viesť k penalizáciám zo strany Googlu.
Kombináciou nasadenia malvéru, používania webového shellu a strategického spätného prelinkovania dokáže UAT-8099 manipulovať s výsledkami vyhľadávania a efektívne speňažovať napadnuté servery, čo z nich robí vysoko rizikového aktéra v oblasti SEO podvodov.
