UAT-8099 SEO goljufija kampanja
Raziskovalci kibernetske varnosti so nedavno odkrili kitajsko govorečo skupino za kibernetski kriminal s kodnim imenom UAT-8099, ki je odgovorna za sofisticirane napade, usmerjene na strežnike Microsoft Internet Information Services (IIS). Ta skupina se ukvarja z goljufijami pri optimizaciji iskalnikov (SEO) in krajo dragocenih poverilnic, konfiguracijskih datotek in podatkov o potrdilih, kar predstavlja veliko tveganje za organizacije po vsem svetu.
Kazalo
Globalni doseg in ciljni profil
Aktivnost skupine je bila opažena predvsem v Indiji, na Tajskem, v Vietnamu, Kanadi in Braziliji, pri čemer je prizadela univerze, tehnološka podjetja in ponudnike telekomunikacijskih storitev. Napadi UAT-8099, ki so bili prvič zaznani aprila 2025, so osredotočeni predvsem na mobilne uporabnike, tako na naprave Android kot iOS.
Ta akter je del naraščajočega vala grozečih skupin, povezanih s Kitajsko, ki se ukvarjajo z SEO goljufijami. Za ponazoritev, nedavna kampanja drugega akterja, GhostRedirector, je ogrozila vsaj 65 strežnikov Windows z uporabo zlonamernega modula IIS s kodnim imenom Gamshen, ki je ciljal na podobne regije.
Metode napada in začetni dostop
UAT-8099 skrbno izbira visokokakovostne strežnike IIS v ciljnih regijah in izkorišča varnostne ranljivosti ali šibke konfiguracije nalaganja datotek. Njihov pristop vključuje:
- Nalaganje spletnih lupin za zbiranje sistemskih informacij.
- Povečevanje privilegijev prek gostujočega računa, doseganje dostopa na ravni skrbnika.
- Omogočanje protokola oddaljenega namizja (RDP) za nadaljnji dostop.
Skupina sprejema tudi ukrepe za zavarovanje začetnega oporošča in preprečuje drugim akterjem grožnje, da bi ogrozili iste strežnike. Cobalt Strike se uporablja kot glavna zadnja vrata za dejavnosti po izkoriščanju.
Vztrajnost in uvajanje zlonamerne programske opreme
Za ohranjanje dolgoročnega nadzora UAT-8099 združuje RDP z orodji VPN, kot so SoftEther VPN, EasyTier in Fast Reverse Proxy (FRP). Napadalna veriga doseže vrhunec z namestitvijo zlonamerne programske opreme BadIIS, orodja, ki ga uporablja več kitajsko govorečih grozdov, vključno z DragonRank in Operation Rewrite (CL-UNK-1037).
Ko je akter enkrat notri, uporabi orodja z grafičnim uporabniškim vmesnikom, kot je Everything, da poišče in izvleče dragocene podatke za nadaljnjo prodajo ali izkoriščanje. Natančno število ogroženih strežnikov ostaja neznano.
Zlonamerna programska oprema BadIIS: načini in funkcionalnost
Razvita različica BadIIS je bila posebej spremenjena, da se izogne zaznavanju s strani protivirusnega programa, in odraža funkcionalnost Gamshena. Njegova manipulacija SEO se aktivira le, ko zahteve izvirajo iz Googlebota. BadIIS deluje v treh glavnih načinih:
Način posrednika : Izvleče kodirane naslove strežnikov C2 in jih uporabi kot posrednike za pridobivanje vsebine s sekundarnih strežnikov.
Način injektorja : Prestreže zahteve brskalnika iz rezultatov iskanja Google, pridobi JavaScript s strežnika C2, ga vdela v odgovor HTML in preusmeri uporabnike na nepooblaščena spletna mesta ali oglase.
Način SEO goljufije : Ogrozi več strežnikov IIS za umetno izboljšanje uvrstitve v iskalnikih z uporabo povratnih povezav.
SEO goljufije in taktike povratnih povezav
UAT-8099 uporablja povratne povezave, standardno strategijo SEO, za povečanje vidnosti spletnega mesta. Google ocenjuje povratne povezave, da odkrije nove strani in izmeri ustreznost ključnih besed. Medtem ko lahko več povratnih povezav izboljša uvrstitve, lahko nekakovostne ali umetne povratne povezave sprožijo kazni s strani Googla.
Z združevanjem uvajanja zlonamerne programske opreme, uporabe spletne lupine in strateškega povezovanja lahko UAT-8099 manipulira z rezultati iskanja in učinkovito monetizira ogrožene strežnike, zaradi česar so zelo tvegan akter v okolju SEO goljufij.
