Multi-License Discount Quote
Banta sa Database Advanced Persistent Threat (APT) UAT-8099 SEO Fraud Campaign

UAT-8099 SEO Fraud Campaign

Sa pamamagitan ng Mezo sa Advanced Persistent Threat (APT), Malware
Isalin To:

Natuklasan kamakailan ng mga mananaliksik ng cybersecurity ang isang cybercrime group na nagsasalita ng Chinese na may codenaming UAT-8099, na responsable para sa mga sopistikadong pag-atake na nagta-target sa mga server ng Microsoft Internet Information Services (IIS). Ang pangkat na ito ay nakikibahagi sa pandaraya sa search engine optimization (SEO) at pagnanakaw ng mga kredensyal na may mataas na halaga, mga file ng pagsasaayos, at data ng sertipiko, na nagdudulot ng malaking panganib sa mga organisasyon sa buong mundo.

Global Reach at Target na Profile

Ang aktibidad ng grupo ay pangunahing naobserbahan sa India, Thailand, Vietnam, Canada, at Brazil, na nakakaapekto sa mga unibersidad, tech firm, at telecom provider. Unang natukoy noong Abril 2025, ang mga pag-atake ng UAT-8099 ay pangunahing nakatuon sa mga mobile user, na sumasaklaw sa parehong mga Android at iOS device.

Ang aktor na ito ay bahagi ng lumalagong alon ng mga cluster ng banta na nauugnay sa China na nakikisali sa panloloko sa SEO. Para sa konteksto, ang isang kamakailang kampanya ng isa pang aktor, ang GhostRedirector, ay nakompromiso ng hindi bababa sa 65 Windows server gamit ang isang nakakahamak na module ng IIS na may pangalang Gamshen, na nagta-target ng mga katulad na rehiyon.

Mga Paraan ng Pag-atake at Paunang Pag-access

Maingat na pinipili ng UAT-8099 ang mga server ng IIS na may mataas na halaga sa mga target na rehiyon at sinasamantala ang mga kahinaan sa seguridad o mahinang mga configuration ng pag-upload ng file. Ang kanilang diskarte ay kinabibilangan ng:

  • Pag-upload ng mga web shell upang mangalap ng impormasyon ng system.
  • Dumadami ang mga pribilehiyo sa pamamagitan ng guest account, na umaabot sa access sa antas ng administrator.
  • Paganahin ang Remote Desktop Protocol (RDP) para sa patuloy na pag-access.

Gumagawa din ang grupo ng mga hakbang upang ma-secure ang unang foothold, na pumipigil sa iba pang mga banta na aktor na ikompromiso ang parehong mga server. Ang Cobalt Strike ay naka-deploy bilang pangunahing backdoor para sa aktibidad pagkatapos ng pagsasamantala.

Pagtitiyaga at Malware Deployment

Upang mapanatili ang pangmatagalang kontrol, pinagsasama ng UAT-8099 ang RDP sa mga tool ng VPN tulad ng SoftEther VPN, EasyTier, at Fast Reverse Proxy (FRP). Nagtatapos ang attack chain sa pag-install ng BadIIS malware, isang tool na ginagamit ng maraming cluster na nagsasalita ng Chinese kabilang ang DragonRank at Operation Rewrite (CL-UNK-1037).

Kapag nasa loob na, ang aktor ay gumagamit ng mga tool sa GUI tulad ng Lahat upang mahanap at i-exfiltrate ang mahalagang data para muling ibenta o higit pang pagsasamantala. Ang eksaktong bilang ng mga nakompromisong server ay nananatiling hindi alam.

Ang BadIIS Malware: Mga Mode at Pag-andar

Ang na-deploy na variant ng BadIIS ay partikular na binago upang maiwasan ang pag-detect ng antivirus at i-mirror ang functionality ng Gamshen. Ang pagmamanipula ng SEO nito ay aktibo lamang kapag ang mga kahilingan ay nagmula sa Googlebot. Gumagana ang BadIIS sa tatlong pangunahing mga mode:

Proxy Mode : Kinukuha ang mga naka-encode na C2 na mga address ng server at ginagamit ang mga ito bilang mga proxy upang kunin ang nilalaman mula sa mga pangalawang server.

Injector Mode : Hinaharang ang mga kahilingan ng browser mula sa mga resulta ng paghahanap sa Google, kinukuha ang JavaScript mula sa C2 server, ini-embed ito sa HTML na tugon, at nire-redirect ang mga user sa mga hindi awtorisadong site o advertisement.

SEO Fraud Mode : Kinokompromiso ang maramihang mga server ng IIS upang artipisyal na mapalakas ang mga ranggo ng search engine gamit ang mga backlink.

SEO Fraud at Backlinking Tactics

Gumagamit ang UAT-8099 ng backlinking, isang karaniwang diskarte sa SEO, upang mapataas ang visibility ng website. Sinusuri ng Google ang mga backlink upang tumuklas ng mga bagong pahina at sukatin ang kaugnayan ng keyword. Habang mas maraming backlink ang makakapagpahusay sa mga ranggo, ang mahinang kalidad o artipisyal na mga backlink ay maaaring magpalitaw ng mga parusa mula sa Google.

Sa pamamagitan ng pagsasama-sama ng pag-deploy ng malware, paggamit ng web shell, at madiskarteng backlink, nagagawang manipulahin ng UAT-8099 ang mga resulta ng paghahanap at epektibong pagkakitaan ang mga nakompromisong server, na ginagawa silang isang high-risk na aktor sa landscape ng SEO fraud.

Trending

Pinaka Nanood

Naglo-load...