แคมเปญหลอกลวง SEO UAT-8099

นักวิจัยด้านความปลอดภัยไซเบอร์เพิ่งค้นพบกลุ่มอาชญากรรมไซเบอร์ที่ใช้ภาษาจีนในชื่อรหัส UAT-8099 ซึ่งรับผิดชอบการโจมตีที่ซับซ้อนซึ่งมุ่งเป้าไปที่เซิร์ฟเวอร์ Microsoft Internet Information Services (IIS) กลุ่มนี้มีส่วนร่วมในการฉ้อโกงการปรับแต่งเว็บไซต์ให้ติดอันดับบนเครื่องมือค้นหา (SEO) และการขโมยข้อมูลประจำตัวที่มีมูลค่าสูง ไฟล์กำหนดค่า และข้อมูลใบรับรอง ซึ่งก่อให้เกิดความเสี่ยงอย่างมากต่อองค์กรต่างๆ ทั่วโลก

การเข้าถึงทั่วโลกและโปรไฟล์เป้าหมาย

กิจกรรมของกลุ่มนี้ส่วนใหญ่พบในอินเดีย ไทย เวียดนาม แคนาดา และบราซิล ซึ่งส่งผลกระทบต่อมหาวิทยาลัย บริษัทเทคโนโลยี และผู้ให้บริการโทรคมนาคม การโจมตีของ UAT-8099 ตรวจพบครั้งแรกในเดือนเมษายน 2568 โดยมุ่งเน้นไปที่ผู้ใช้มือถือเป็นหลัก ครอบคลุมทั้งอุปกรณ์ Android และ iOS

ผู้ก่อเหตุรายนี้เป็นส่วนหนึ่งของกลุ่มภัยคุกคามที่เชื่อมโยงกับจีนซึ่งกำลังเพิ่มจำนวนขึ้นเรื่อยๆ และเกี่ยวข้องกับการฉ้อโกง SEO ยกตัวอย่างเช่น แคมเปญล่าสุดโดยผู้ก่อเหตุอีกรายหนึ่งคือ GhostRedirector ได้โจมตีเซิร์ฟเวอร์ Windows อย่างน้อย 65 เครื่องโดยใช้โมดูล IIS อันตรายที่มีชื่อรหัสว่า Gamshen โดยมีเป้าหมายในภูมิภาคที่คล้ายคลึงกัน

วิธีการโจมตีและการเข้าถึงเบื้องต้น

UAT-8099 คัดเลือกเซิร์ฟเวอร์ IIS ประสิทธิภาพสูงในภูมิภาคเป้าหมายอย่างรอบคอบ และใช้ประโยชน์จากช่องโหว่ด้านความปลอดภัยหรือการกำหนดค่าการอัปโหลดไฟล์ที่อ่อนแอ แนวทางของพวกเขาประกอบด้วย:

• การอัพโหลดเว็บเชลล์เพื่อรวบรวมข้อมูลระบบ
• เพิ่มสิทธิ์การเข้าถึงผ่านบัญชีผู้เยี่ยมชม เข้าถึงได้ถึงระดับผู้ดูแลระบบ
• เปิดใช้งาน Remote Desktop Protocol (RDP) เพื่อการเข้าถึงอย่างต่อเนื่อง

กลุ่มนี้ยังดำเนินมาตรการเพื่อรักษาฐานที่มั่นเบื้องต้น โดยป้องกันไม่ให้ผู้ก่อภัยคุกคามรายอื่นเจาะระบบเซิร์ฟเวอร์เดียวกันได้ Cobalt Strike ถูกใช้เป็นช่องทางหลักสำหรับกิจกรรมหลังการโจมตี

การคงอยู่และการปรับใช้มัลแวร์

เพื่อรักษาการควบคุมในระยะยาว UAT-8099 ได้รวม RDP เข้ากับเครื่องมือ VPN เช่น SoftEther VPN, EasyTier และ Fast Reverse Proxy (FRP) การโจมตีครั้งนี้สิ้นสุดลงด้วยการติดตั้งมัลแวร์ BadIIS ซึ่งเป็นเครื่องมือที่ใช้งานโดยคลัสเตอร์ที่ใช้ภาษาจีนหลายแห่ง รวมถึง DragonRank และ Operation Rewrite (CL-UNK-1037)

เมื่อเข้าไปข้างในแล้ว นักแสดงจะใช้เครื่องมือ GUI เช่น Everything เพื่อค้นหาและขโมยข้อมูลอันมีค่าเพื่อนำไปขายต่อหรือใช้ประโยชน์ต่อไป จำนวนเซิร์ฟเวอร์ที่ถูกบุกรุกที่แน่ชัดยังคงไม่ทราบแน่ชัด

มัลแวร์ BadIIS: โหมดและฟังก์ชันการทำงาน

BadIIS เวอร์ชันที่นำไปใช้งานได้รับการปรับปรุงโดยเฉพาะเพื่อหลีกเลี่ยงการตรวจจับของโปรแกรมป้องกันไวรัส และสะท้อนการทำงานของ Gamshen การปรับแต่ง SEO จะทำงานเฉพาะเมื่อมีคำขอมาจาก Googlebot เท่านั้น BadIIS ทำงานในสามโหมดหลัก:

โหมดพร็อกซี : แยกที่อยู่เซิร์ฟเวอร์ C2 ที่เข้ารหัสและใช้เป็นตัวแทนในการดึงเนื้อหาจากเซิร์ฟเวอร์รอง

โหมดการฉีด : สกัดกั้นคำขอเบราว์เซอร์จากผลการค้นหาของ Google ดึง JavaScript จากเซิร์ฟเวอร์ C2 ฝังไว้ในการตอบสนอง HTML และเปลี่ยนเส้นทางผู้ใช้ไปยังไซต์หรือโฆษณาที่ไม่ได้รับอนุญาต

โหมดการฉ้อโกง SEO : ทำลายเซิร์ฟเวอร์ IIS หลายเครื่องเพื่อเพิ่มอันดับของเครื่องมือค้นหาโดยใช้แบ็คลิงก์

การฉ้อโกง SEO และกลยุทธ์การสร้างแบ็คลิงก์

UAT-8099 ใช้แบ็คลิงก์ ซึ่งเป็นกลยุทธ์ SEO มาตรฐาน เพื่อเพิ่มการมองเห็นเว็บไซต์ Google ประเมินแบ็คลิงก์เพื่อค้นหาหน้าใหม่และวัดความเกี่ยวข้องของคีย์เวิร์ด แม้ว่าการมีแบ็คลิงก์มากขึ้นจะช่วยปรับปรุงอันดับได้ แต่แบ็คลิงก์คุณภาพต่ำหรือแบ็คลิงก์ปลอมอาจทำให้ Google ลงโทษได้

ด้วยการผสมผสานการใช้งานมัลแวร์ การใช้งานเว็บเชลล์ และการสร้างแบ็คลิงก์เชิงกลยุทธ์ UAT-8099 จึงสามารถจัดการผลการค้นหาและสร้างรายได้จากเซิร์ฟเวอร์ที่ถูกบุกรุกได้อย่างมีประสิทธิภาพ ทำให้พวกเขากลายเป็นผู้กระทำที่มีความเสี่ยงสูงในภูมิทัศน์การฉ้อโกง SEO