Siber güvenlik araştırmacıları, Çince konuşan bir siber suç grubuna ışık tuttular. UAT-8099 Bu, Arama Motoru Optimizasyonu (SEO) sahtekarlığına ve yüksek değerli kimlik bilgilerinin, yapılandırma dosyalarının ve sertifika verilerinin çalınmasına bağlanmıştır.
Saldırılar, Hindistan, Tayland, Vietnam, Kanada ve Brezilya’da bildirilen enfeksiyonların çoğu, üniversiteleri, teknoloji firmalarını ve telekom sağlayıcılarını kapsayan Microsoft Internet Bilgi Hizmetleri (IIS) sunucularını hedeflemek için tasarlanmıştır. Grup ilk olarak Nisan 2025’te keşfedildi. Hedefler, hem Android hem de Apple iPhone cihazlarını kapsayan öncelikle mobil kullanıcılar.
UAT-8099, finansal kazanç için SEO sahtekarlığına giren en son Çin bağlantılı aktör. Geçen ay olduğu gibi, ESET, SEO sahtekarlıklarını kolaylaştırmak için Gamshen adlı kötü niyetli IIS modülü ile Brezilya, Tayland ve Vietnam’da bulunan en az 65 Windows sunucusundan ödün vermeyi başaran GhostrediDector adlı başka bir tehdit aktörünün ayrıntılarını açıkladı.
Cisco Talos araştırmacısı Joey Chen, “UAT-8099, hedeflenen bölgelerdeki saygın, yüksek değerli IIS sunucularına odaklanarak arama sıralamalarını manipüle ediyor.” Dedi. “Grup kalıcılığı koruyor ve web mermileri, açık kaynaklı hackleme araçları, kobalt grevi ve çeşitli badiis kötü amaçlı yazılım kullanarak SEO sıralamalarını değiştiriyor; otomasyon komut dosyaları savunmalardan kaçınmak ve etkinlikleri gizlemek için özelleştiriliyor.”
Savunmasız bir IIS sunucusu bulunduktan sonra – ya güvenlik güvenlik açığı veya web sunucusunun dosya yükleme özelliğindeki zayıf ayarlar yoluyla – tehdit oyuncusu, keşif yapmak ve temel sistem bilgilerini toplamak için web mermilerini yüklemek için dayanak kullanır. Finansal olarak motive edilen hackleme grubu daha sonra konuk hesabının yöneticiye kadar ayrıcalıklarını artırmasını ve uzak masaüstü protokolünü (RDP) etkinleştirmek için kullanmasını sağlar.
UAT-8099’un, tehlikeye atılan ana bilgisayarların tek kontrolünü korumak ve diğer tehdit aktörlerinin aynı sunuculardan ödün vermesini önlemek için başlangıç erişim yolunu takmak için adımlar attığı gözlemlenmiştir. Buna ek olarak, kobalt grevi, sömürü sonrası için tercih edilen arka kapı olarak konuşlandırılır.
Kalıcılık elde etmek için RDP, yumuşak VPN, EasyTier ve Hızlı Ters Proxy (FRP) gibi VPN araçlarıyla birleştirilir. Saldırı zinciri, Dragonrank ve Operasyon Rewrite (aka CL-bütün-1037) gibi birden fazla Çince konuşan tehdit kümesi tarafından kullanılan Badiis kötü amaçlı yazılımlarının kurulmasıyla sonuçlanır.
UAT-8099, IIS sunucularına erişmek için RDP kullanır ve her şey adı verilen bir grafik kullanıcı arayüzü (GUI) aracı (GUI) aracı kullanarak, daha sonra yeniden satış veya daha fazla sömürü için paketlenmiş olarak ödemeli ana bilgisayar içinde değerli verileri arar. Şu anda grubun kaç sunucudan ödün verdiği açık değil.
Bununla birlikte, bu durumda dağıtılan BADIIS kötü amaçlı yazılımları, antivirüs yazılımı tarafından algılanmayı önlemek için kod yapısını ve fonksiyonel iş akışını değiştiren bir varyanttır. SEO manipülasyon bileşeninin yalnızca istek Google’dan kaynaklandığında (yani kullanıcı ajanı GoogleBot’tur) tekmelediği için Gamshen’e benzer şekilde çalışır.
Badiis üç farklı modda çalışabilir –
- Vekilkodlanmış, gömülü komut ve kontrol (C2) sunucu adresini çıkaran ve ikincil bir C2 sunucusundan içerik almak için bir proxy olarak kullanan
- EnjektörGoogle arama sonuçlarından kaynaklanan tarayıcı isteklerini kesen, JavaScript kodunu almak için C2 sunucusuna bağlanır, indirilen JavaScript’i yanıtın HTML içeriğine yerleştirir ve değiştirilmiş yanıtı kurbanı seçilen hedefe yönlendirmek için geri döndürür (yetkisiz reklamlar veya yasadışı oyun web siteleri)
- SEO sahtekarlığıweb sitesi sıralamalarını yapay olarak güçlendirmek için geri bağlantılar sunarak SEO sahtekarlığı yapmak için birden fazla IIS sunucusunu tehlikeye atan
Talos, “Aktör, web sitesi görünürlüğünü artırmak için geri bağlantı olarak bilinen geleneksel bir SEO tekniği kullanıyor.” Dedi. “Google’ın arama motoru, ek siteleri keşfetmek ve anahtar kelime alaka düzeyini değerlendirmek için backlinks kullanır.”
Diyerek şöyle devam etti: “Daha fazla sayıda geri bağlantı, bir siteyi ziyaret etme Google tarayıcıların sıralama iyileştirmelerini hızlandırabilecek ve web sayfaları için pozlamayı artırabilecek olasılığını arttırıyor. Ancak, sadece kalite olmadan geri dönüşler biriktirmek Google’dan cezalara yol açabilir.”