UAT-8099 SEO кампања преваре
Истраживачи сајбер безбедности недавно су открили кинеску групу за сајбер криминал под кодним називом UAT-8099, одговорну за софистициране нападе усмерене на сервере Microsoft Internet Information Services (IIS). Ова група се бави преварама у оптимизацији за претраживаче (SEO) и крађом вредних акредитива, конфигурационих датотека и података о сертификатима, што представља значајан ризик за организације широм света.
Преглед садржаја
Глобални досег и профил циљне групе
Активност групе је првенствено примећена у Индији, Тајланду, Вијетнаму, Канади и Бразилу, а утицала је на универзитете, технолошке фирме и телекомуникационе провајдере. Први пут откривени у априлу 2025. године, напади UAT-8099 углавном се фокусирају на мобилне кориснике, обухватајући и Андроид и иОС уређаје.
Овај актер је део растућег таласа кластера претњи повезаних са Кином који се баве SEO преварама. Ради контекста, недавна кампања другог актера, GhostRedirector, компромитовала је најмање 65 Windows сервера користећи злонамерни IIS модул под кодним називом Gamshen, циљајући сличне регионе.
Методе напада и почетни приступ
UAT-8099 пажљиво бира високо вредне IIS сервере у циљним регионима и искоришћава безбедносне рањивости или слабе конфигурације за отпремање датотека. Њихов приступ укључује:
- Отпремање веб шкољки за прикупљање системских информација.
- Повећање привилегија преко гостујућег налога, достизање приступа администраторског нивоа.
- Омогућавање протокола за удаљену радну површину (RDP) за континуирани приступ.
Група такође предузима кораке како би обезбедила почетно упориште, спречавајући друге актере претњи да угрозе исте сервере. Cobalt Strike се користи као примарни задњи улаз за активности након експлоатације.
Упорност и имплементација злонамерног софтвера
Да би одржао дугорочну контролу, UAT-8099 комбинује RDP са VPN алатима као што су SoftEther VPN, EasyTier и Fast Reverse Proxy (FRP). Ланац напада кулминира инсталацијом BadIIS малвера, алата који користе вишеструки кластери кинеског говорног подручја, укључујући DragonRank и Operation Rewrite (CL-UNK-1037).
Када уђе унутра, актер користи алате са графичким корисничким интерфејсом попут „Everything“-а да би лоцирао и издвојио вредне податке за препродају или даљу експлоатацију. Тачан број угрожених сервера остаје непознат.
Злонамерни софтвер БадИИС: режими и функционалност
Имплементирана варијанта BadIIS-а је посебно модификована да би избегла детекцију антивируса и одражава функционалност Gamshen-а. Његова SEO манипулација се активира само када захтеви потичу од Googlebot-а. BadIIS ради у три главна режима:
Прокси режим : Издваја кодиране адресе C2 сервера и користи их као проксије за преузимање садржаја са секундарних сервера.
Режим инјектора : Пресреће захтеве прегледача из резултата претраге Google-а, преузима JavaScript са C2 сервера, уграђује га у HTML одговор и преусмерава кориснике на неовлашћене сајтове или огласе.
Режим SEO преваре : Угрожава више IIS сервера како би вештачки побољшао рангирање на претраживачима користећи повратне линкове.
SEO преваре и тактике беклинкова
UAT-8099 користи повратне линкове, стандардну SEO стратегију, како би повећао видљивост веб-сајта. Google процењује повратне линкове како би открио нове странице и измерио релевантност кључних речи. Док већи број повратних линкова може побољшати рангирање, лошег квалитета или вештачки повратни линкови могу изазвати казне од стране Google-а.
Комбиновањем распоређивања злонамерног софтвера, коришћења веб шкољке и стратешког повратног линковања, UAT-8099 је у стању да манипулише резултатима претраге и ефикасно монетизује компромитоване сервере, што их чини актерима високог ризика у пејзажу SEO превара.
