UAT-8099 SEO Dolandırıcılık Kampanyası
Siber güvenlik araştırmacıları, yakın zamanda Microsoft Internet Information Services (IIS) sunucularını hedef alan karmaşık saldırılardan sorumlu, UAT-8099 kod adlı Çince konuşan bir siber suç grubunu ortaya çıkardı. Bu grup, arama motoru optimizasyonu (SEO) dolandırıcılığı ve yüksek değerli kimlik bilgileri, yapılandırma dosyaları ve sertifika verilerinin çalınmasıyla uğraşarak dünya çapındaki kuruluşlar için önemli riskler oluşturuyor.
İçindekiler
Küresel Erişim ve Hedef Profili
Grubun faaliyetleri ağırlıklı olarak Hindistan, Tayland, Vietnam, Kanada ve Brezilya'da gözlemlendi ve üniversiteleri, teknoloji şirketlerini ve telekomünikasyon sağlayıcılarını etkiledi. İlk olarak Nisan 2025'te tespit edilen UAT-8099 saldırıları, hem Android hem de iOS cihazlarını kapsayan mobil kullanıcılara odaklanıyor.
Bu aktör, SEO dolandırıcılığına karışan Çin bağlantılı tehdit kümelerinin giderek artan dalgasının bir parçası. Bağlam olarak, GhostRedirector adlı başka bir aktörün yakın zamanda gerçekleştirdiği bir saldırı, Gamshen kod adlı kötü amaçlı bir IIS modülü kullanarak benzer bölgeleri hedef alarak en az 65 Windows sunucusunu tehlikeye attı.
Saldırı Yöntemleri ve İlk Erişim
UAT-8099, hedef bölgelerdeki yüksek değerli IIS sunucularını dikkatlice seçer ve güvenlik açıklarından veya zayıf dosya yükleme yapılandırmalarından yararlanır. Yaklaşımları şunları içerir:
- Sistem bilgilerini toplamak için web kabukları yükleniyor.
- Misafir hesabı üzerinden ayrıcalıkların artırılması, yönetici düzeyinde erişime ulaşılması.
- Sürekli erişim için Uzak Masaüstü Protokolü'nü (RDP) etkinleştirme.
Grup ayrıca, diğer tehdit aktörlerinin aynı sunucuları ele geçirmesini önlemek için ilk tutunma noktasını güvence altına almak için adımlar atıyor. Cobalt Strike, istismar sonrası faaliyetler için birincil arka kapı olarak kullanılıyor.
Kalıcılık ve Kötü Amaçlı Yazılım Dağıtımı
Uzun vadeli kontrolü sağlamak için UAT-8099, RDP'yi SoftEther VPN, EasyTier ve Fast Reverse Proxy (FRP) gibi VPN araçlarıyla birleştirir. Saldırı zinciri, DragonRank ve Operation Rewrite (CL-UNK-1037) gibi birçok Çince konuşan küme tarafından kullanılan bir araç olan BadIIS kötü amaçlı yazılımının yüklenmesiyle sonuçlanır.
İçeri girdikten sonra, aktör Everything gibi grafiksel kullanıcı arayüzü (GUI) araçlarını kullanarak değerli verileri bulup yeniden satmak veya daha fazla sömürmek için dışarı aktarıyor. Ele geçirilen sunucuların kesin sayısı ise bilinmiyor.
BadIIS Kötü Amaçlı Yazılımı: Modlar ve İşlevsellik
Dağıtılan BadIIS varyantı, antivirüs tespitinden kaçınmak için özel olarak değiştirildi ve Gamshen'in işlevselliğini yansıtıyor. SEO manipülasyonu yalnızca Googlebot'tan gelen istekler olduğunda etkinleşiyor. BadIIS üç ana modda çalışıyor:
Proxy Modu : Kodlanmış C2 sunucu adreslerini çıkarır ve bunları ikincil sunuculardan içerik almak için proxy olarak kullanır.
Enjektör Modu : Google arama sonuçlarından gelen tarayıcı isteklerini yakalar, C2 sunucusundan JavaScript'i alır, HTML yanıtına gömer ve kullanıcıları yetkisiz sitelere veya reklamlara yönlendirir.
SEO Sahtekarlık Modu : Geri bağlantıları kullanarak arama motoru sıralamalarını yapay olarak artırmak için birden fazla IIS sunucusunu tehlikeye atar.
SEO Dolandırıcılığı ve Geri Bağlantı Taktikleri
UAT-8099, web sitesi görünürlüğünü artırmak için standart bir SEO stratejisi olan geri bağlantı kullanır. Google, yeni sayfalar keşfetmek ve anahtar kelime alaka düzeyini ölçmek için geri bağlantıları değerlendirir. Daha fazla geri bağlantı sıralamaları iyileştirebilirken, düşük kaliteli veya yapay geri bağlantılar Google'dan ceza almanıza neden olabilir.
Kötü amaçlı yazılım dağıtımı, web kabuğu kullanımı ve stratejik geri bağlantıları bir araya getiren UAT-8099, arama sonuçlarını manipüle edebiliyor ve tehlikeye atılmış sunucuları etkili bir şekilde paraya çevirebiliyor; bu da onları SEO dolandırıcılığı alanında yüksek riskli bir aktör haline getiriyor.
