UAT-8099 SEO詐欺活動

網路安全研究人員最近發現了一個代號為 UAT-8099 的中文網路犯罪組織，該組織針對微軟網路資訊服務 (IIS) 伺服器發動了複雜的攻擊。該組織從事搜尋引擎優化 (SEO) 詐欺以及高價值憑證、個人資料和證書資料的竊取，對全球組織構成重大風險。

全球影響力和目標概況

該組織的活動主要集中在印度、泰國、越南、加拿大和巴西，影響大學、科技公司和電信業者。 UAT-8099 於 2025 年 4 月首次被發現，其攻擊主要針對行動用戶，涵蓋 Android 和 iOS 裝置。

該攻擊者是日益壯大的與中國相關的 SEO 詐欺威脅團伙的一部分。作為背景訊息，另一個攻擊者 GhostRedirector 最近發起的攻擊活動利用代號為 Gamshen 的惡意 IIS 模組入侵了至少 65 台 Windows 伺服器，攻擊目標與中國類似。

攻擊方法和初始訪問

UAT-8099 會精心挑選目標區域中的高價值 IIS 伺服器，並利用安全漏洞或薄弱的檔案上傳配置。其方法包括：

• 上傳 Web Shell 來收集系統資訊。
• 透過訪客帳號提升權限，達到管理員等級的存取權限。
• 啟用遠端桌面協定 (RDP) 以繼續存取。

該組織還採取措施鞏固初始立足點，防止其他威脅行為者入侵同一台伺服器。 Cobalt Strike 被部署為後續攻擊活動的主要後門。

持久性和惡意軟體部署

為了維持長期控制，UAT-8099 將 RDP 與 SoftEther VPN、EasyTier 和快速反向代理 (FRP) 等 VPN 工具結合。攻擊鏈的最終目標是安裝 BadIIS 惡意軟體，該惡意軟體被多個中文攻擊叢集（包括 DragonRank 和 Operation Rewrite (CL-UNK-1037)）使用。

一旦進入系統，攻擊者就會使用 Everything 等 GUI 工具來定位並竊取有價值的數據，用於轉售或進一步利用。目前，受感染伺服器的具體數量尚不清楚。

BadIIS 惡意軟體：模式與功能

已部署的 BadIIS 變種經過專門修改，可逃避防毒軟體偵測，其功能與 Gamshen 類似。只有當請求來自 Googlebot 時，其 SEO 操縱才會啟動。 BadIIS 主要有三種運作模式：

代理模式：提取編碼的 C2 伺服器位址並將其用作代理從輔助伺服器檢索內容。

注入器模式：攔截來自 Google 搜尋結果的瀏覽器請求，從 C2 伺服器檢索 JavaScript，將其嵌入到 HTML 回應中，並將使用者重新導向到未經授權的網站或廣告。

SEO詐欺模式：破壞多個IIS伺服器，使用反向連結人為提高搜尋引擎排名。

SEO詐欺和反向連結策略

UAT-8099 採用反向連結（一種標準的 SEO 策略）來提升網站曝光度。 Google 會評估反向鏈接，以發現新頁面並衡量關鍵字相關性。雖然更多反向連結可以提升排名，但品質低劣或虛假的反向連結可能會受到 Google 的懲罰。

透過結合惡意軟體部署、Web Shell 使用和戰略反向鏈接，UAT-8099 能夠操縱搜尋結果並有效地將受感染的伺服器貨幣化，使其成為 SEO 詐欺領域的高風險行為者。