Кампанія з шахрайства SEO UAT-8099
Дослідники з кібербезпеки нещодавно виявили китайськомовну кіберзлочинну групу під кодовою назвою UAT-8099, відповідальну за складні атаки, спрямовані на сервери Microsoft Internet Information Services (IIS). Ця група займається шахрайством з пошуковою оптимізацією (SEO) та крадіжкою цінних облікових даних, файлів конфігурації та даних сертифікатів, що створює значні ризики для організацій у всьому світі.
Зміст
Глобальний охоплення та профіль цільової аудиторії
Активність групи спостерігалася переважно в Індії, Таїланді, В'єтнамі, Канаді та Бразилії, вражаючи університети, технологічні компанії та телекомунікаційних провайдерів. Атаки UAT-8099, вперше виявлені у квітні 2025 року, в основному зосереджені на мобільних користувачах пристроїв як Android, так і iOS.
Цей актор є частиною зростаючої хвилі кластерів загроз, пов'язаних з Китаєм, що займаються SEO-шахрайством. Для контексту, нещодавня кампанія іншого актора, GhostRedirector, скомпрометувала щонайменше 65 серверів Windows за допомогою шкідливого модуля IIS під кодовою назвою Gamshen, спрямованого на аналогічні регіони.
Методи атаки та початковий доступ
UAT-8099 ретельно вибирає високоцінні сервери IIS у цільових регіонах та використовує вразливості безпеки або слабкі конфігурації завантаження файлів. Їхній підхід включає:
- Завантаження веб-оболок для збору системної інформації.
- Підвищення привілеїв через гостьовий обліковий запис, досягнення рівня доступу адміністратора.
- Увімкнення протоколу віддаленого робочого столу (RDP) для подальшого доступу.
Група також вживає заходів для забезпечення початкового плацдарму, запобігаючи компрометації тих самих серверів іншими зловмисниками. Cobalt Strike використовується як основний бекдор для діяльності після експлуатації.
Збереження та розгортання шкідливого програмного забезпечення
Для підтримки довгострокового контролю UAT-8099 поєднує RDP з інструментами VPN, такими як SoftEther VPN, EasyTier та Fast Reverse Proxy (FRP). Ланцюг атаки завершується встановленням шкідливого програмного забезпечення BadIIS, інструменту, який використовується кількома китайськомовними кластерами, включаючи DragonRank та Operation Rewrite (CL-UNK-1037).
Потрапивши всередину, зловмисник використовує інструменти графічного інтерфейсу, такі як Everything, для пошуку та вилучення цінних даних для перепродажу або подальшого використання. Точна кількість скомпрометованих серверів залишається невідомою.
Зловмисне програмне забезпечення BadIIS: режими та функціональність
Розгорнутий варіант BadIIS був спеціально модифікований, щоб уникнути виявлення антивірусом, і він відображає функціональність Gamshen. Його SEO-маніпуляції активуються лише тоді, коли запити надходять від Googlebot. BadIIS працює у трьох основних режимах:
Режим проксі-сервера : витягує закодовані адреси C2-серверів та використовує їх як проксі-сервери для отримання контенту з вторинних серверів.
Режим інжектора : перехоплює запити браузера з результатів пошуку Google, отримує JavaScript із сервера C2, вбудовує його у відповідь HTML та перенаправляє користувачів на неавторизовані сайти або рекламу.
Режим SEO-шахрайства : компрометує кілька серверів IIS для штучного підвищення рейтингу в пошукових системах за допомогою зворотних посилань.
SEO-шахрайство та тактика зворотних посилань
UAT-8099 використовує зворотні посилання, стандартну SEO-стратегію, для підвищення видимості веб-сайту. Google оцінює зворотні посилання, щоб знаходити нові сторінки та вимірювати релевантність ключових слів. Хоча більша кількість зворотних посилань може покращити рейтинг, неякісні або штучні зворотні посилання можуть призвести до штрафних санкцій від Google.
Поєднуючи розгортання шкідливого програмного забезпечення, використання веб-оболочки та стратегічне зворотне посилання, UAT-8099 здатний маніпулювати результатами пошуку та ефективно монетизувати скомпрометовані сервери, що робить їх високоризикованим гравцем у ландшафті SEO-шахрайства.
