UAT-8099 SEO మోసం ప్రచారం

సైబర్ భద్రతా పరిశోధకులు ఇటీవల UAT-8099 అనే కోడ్‌నేమ్ కలిగిన చైనీస్ మాట్లాడే సైబర్ క్రైమ్ గ్రూప్‌ను కనుగొన్నారు, ఇది మైక్రోసాఫ్ట్ ఇంటర్నెట్ ఇన్ఫర్మేషన్ సర్వీసెస్ (IIS) సర్వర్‌లను లక్ష్యంగా చేసుకుని అధునాతన దాడులకు బాధ్యత వహిస్తుంది. ఈ గ్రూప్ సెర్చ్ ఇంజన్ ఆప్టిమైజేషన్ (SEO) మోసం మరియు అధిక-విలువ ఆధారాలు, కాన్ఫిగరేషన్ ఫైల్‌లు మరియు సర్టిఫికెట్ డేటాను దొంగిలించడంలో పాల్గొంటుంది, ఇది ప్రపంచవ్యాప్తంగా ఉన్న సంస్థలకు గణనీయమైన నష్టాలను కలిగిస్తుంది.

గ్లోబల్ రీచ్ మరియు టార్గెట్ ప్రొఫైల్

ఈ గ్రూప్ కార్యకలాపాలు ప్రధానంగా భారతదేశం, థాయిలాండ్, వియత్నాం, కెనడా మరియు బ్రెజిల్‌లలో గమనించబడ్డాయి, విశ్వవిద్యాలయాలు, టెక్ సంస్థలు మరియు టెలికాం ప్రొవైడర్లను ప్రభావితం చేస్తున్నాయి. ఏప్రిల్ 2025లో మొదట గుర్తించబడిన UAT-8099 యొక్క దాడులు ప్రధానంగా మొబైల్ వినియోగదారులపై దృష్టి సారించాయి, ఇవి Android మరియు iOS పరికరాలు రెండింటినీ విస్తరించి ఉన్నాయి.

ఈ నటుడు SEO మోసానికి పాల్పడుతున్న చైనాతో అనుసంధానించబడిన బెదిరింపు సమూహాల పెరుగుతున్న తరంగంలో భాగం. సందర్భం కోసం, మరొక నటుడు, GhostRedirector ఇటీవల చేసిన ప్రచారం, ఇలాంటి ప్రాంతాలను లక్ష్యంగా చేసుకుని, Gamshen అనే కోడ్‌నేమ్ ఉన్న హానికరమైన IIS మాడ్యూల్‌ను ఉపయోగించి కనీసం 65 Windows సర్వర్‌లను రాజీ చేసింది.

దాడి పద్ధతులు మరియు ప్రారంభ యాక్సెస్

UAT-8099 లక్ష్య ప్రాంతాలలో అధిక-విలువ IIS సర్వర్‌లను జాగ్రత్తగా ఎంచుకుంటుంది మరియు భద్రతా దుర్బలత్వాలను లేదా బలహీనమైన ఫైల్ అప్‌లోడ్ కాన్ఫిగరేషన్‌లను దోపిడీ చేస్తుంది. వారి విధానంలో ఇవి ఉంటాయి:

• సిస్టమ్ సమాచారాన్ని సేకరించడానికి వెబ్ షెల్‌లను అప్‌లోడ్ చేస్తోంది.
• అతిథి ఖాతా ద్వారా ప్రత్యేక హక్కులను పెంచడం, నిర్వాహక స్థాయి యాక్సెస్‌ను చేరుకోవడం.
• నిరంతర యాక్సెస్ కోసం రిమోట్ డెస్క్‌టాప్ ప్రోటోకాల్ (RDP)ని ప్రారంభించడం.

ఈ బృందం ప్రారంభ స్థానాన్ని భద్రపరచడానికి చర్యలు తీసుకుంటుంది, ఇతర ముప్పు శక్తులు అదే సర్వర్లను రాజీ పడకుండా నిరోధిస్తుంది. కోబాల్ట్ స్ట్రైక్ అనేది దోపిడీ తర్వాత కార్యకలాపాలకు ప్రాథమిక బ్యాక్‌డోర్‌గా ఉపయోగించబడుతుంది.

నిలకడ మరియు మాల్వేర్ విస్తరణ

దీర్ఘకాలిక నియంత్రణను నిర్వహించడానికి, UAT-8099 RDPని SoftEther VPN, EasyTier మరియు Fast Reverse Proxy (FRP) వంటి VPN సాధనాలతో మిళితం చేస్తుంది. ఈ దాడి గొలుసు BadIIS మాల్వేర్ యొక్క సంస్థాపనతో ముగుస్తుంది, ఇది డ్రాగన్‌రాంక్ మరియు ఆపరేషన్ రీరైట్ (CL-UNK-1037)తో సహా బహుళ చైనీస్ మాట్లాడే క్లస్టర్‌లచే ఉపయోగించబడే సాధనం.

లోపలికి ప్రవేశించిన తర్వాత, నటుడు విలువైన డేటాను తిరిగి అమ్మడం లేదా మరింత దోపిడీ కోసం గుర్తించడానికి మరియు తొలగించడానికి ఎవ్రీథింగ్ వంటి GUI సాధనాలను ఉపయోగిస్తాడు. రాజీపడిన సర్వర్ల ఖచ్చితమైన సంఖ్య ఇంకా తెలియదు.

BadIIS మాల్వేర్: మోడ్‌లు మరియు కార్యాచరణ

యాంటీవైరస్ గుర్తింపును తప్పించుకోవడానికి మరియు గామ్షెన్ యొక్క కార్యాచరణను ప్రతిబింబించేలా అమలు చేయబడిన BadIIS వేరియంట్ ప్రత్యేకంగా సవరించబడింది. Googlebot నుండి అభ్యర్థనలు వచ్చినప్పుడు మాత్రమే దీని SEO మానిప్యులేషన్ యాక్టివేట్ అవుతుంది. BadIIS మూడు ప్రధాన మోడ్‌లలో పనిచేస్తుంది:

ప్రాక్సీ మోడ్ : ఎన్కోడ్ చేయబడిన C2 సర్వర్ చిరునామాలను సంగ్రహిస్తుంది మరియు ద్వితీయ సర్వర్ల నుండి కంటెంట్‌ను తిరిగి పొందడానికి వాటిని ప్రాక్సీలుగా ఉపయోగిస్తుంది.

ఇంజెక్టర్ మోడ్ : గూగుల్ శోధన ఫలితాల నుండి బ్రౌజర్ అభ్యర్థనలను అడ్డగిస్తుంది, C2 సర్వర్ నుండి జావాస్క్రిప్ట్‌ను తిరిగి పొందుతుంది, దానిని HTML ప్రతిస్పందనలో పొందుపరుస్తుంది మరియు వినియోగదారులను అనధికార సైట్‌లు లేదా ప్రకటనలకు దారి మళ్లిస్తుంది.

SEO ఫ్రాడ్ మోడ్ : బ్యాక్‌లింక్‌లను ఉపయోగించి సెర్చ్ ఇంజన్ ర్యాంకింగ్‌లను కృత్రిమంగా పెంచడానికి బహుళ IIS సర్వర్‌లను రాజీ చేస్తుంది.

SEO మోసం మరియు బ్యాక్‌లింకింగ్ వ్యూహాలు

వెబ్‌సైట్ దృశ్యమానతను పెంచడానికి UAT-8099 బ్యాక్‌లింకింగ్ అనే ప్రామాణిక SEO వ్యూహాన్ని ఉపయోగిస్తుంది. కొత్త పేజీలను కనుగొనడానికి మరియు కీవర్డ్ ఔచిత్యాన్ని కొలవడానికి Google బ్యాక్‌లింక్‌లను మూల్యాంకనం చేస్తుంది. మరిన్ని బ్యాక్‌లింక్‌లు ర్యాంకింగ్‌లను మెరుగుపరుస్తాయి, నాణ్యత లేని లేదా కృత్రిమ బ్యాక్‌లింక్‌లు Google నుండి జరిమానాలను ప్రేరేపించగలవు.

మాల్వేర్ విస్తరణ, వెబ్ షెల్ వినియోగం మరియు వ్యూహాత్మక బ్యాక్‌లింకింగ్‌ను కలపడం ద్వారా, UAT-8099 శోధన ఫలితాలను మార్చగలదు మరియు రాజీపడిన సర్వర్‌లను సమర్థవంతంగా డబ్బు ఆర్జించగలదు, SEO మోసం ల్యాండ్‌స్కేప్‌లో వాటిని అధిక-రిస్క్ నటుడిగా చేస్తుంది.