Cisco Talos, Çince konuşan bir siber suç grubu olan UAT-8099’un, arama motoru optimizasyonu (SEO) sahtekarlığı ve yüksek değerli veriler çalmak için birden fazla ülkede savunmasız İnternet Bilgi Hizmetleri (IIS) sunucularını kullandığını ortaya koydu.
Nisan 2025’te tanımlanan bu grup, üniversiteler, teknoloji firmaları ve telekomünikasyon sağlayıcıları gibi kuruluşlara odaklanan Hindistan, Tayland, Vietnam, Kanada ve Brezilya’da saygın IIS sunucularını hedeflemektedir.
Temel amaçları, kötü niyetli sitelerin arama sıralamalarını artırmak ve meşru trafiği yetkisiz reklamlara ve yasadışı kumar platformlarına yönlendirmektir.
Kampanyaya Genel Bakış
UAT-8099 kampanyası, sınırsız dosya yüklemelerine izin veren açılmamış IIS sunucularında keşifle başlar.
Bir güvenlik açığı bulunduktan sonra, tehdit aktörleri komutları yürütmek ve sistem bilgilerini toplamak için açık kaynaklı bir ASP.NET web kabuğu yükler.
Bu başlangıç erişim, uzak masaüstü protokolü (RDP) erişimini sağlayan yönetici ayrıcalıklarına bir konuk kullanıcı hesabı oluşturmalarını ve yükseltmelerine olanak tanır.
Grup daha sonra web mermilerini dağıtır ve kalıcılığı oluşturmak ve sürdürmek için Kobalt Strike ile birlikte açık kaynaklı hack araçları kullanır.
Cisco Talos, bu kampanyada minimal antivirüs tespiti olan kümeler ve basitleştirilmiş Çin hata ayıklama mesajları içeren birkaç yeni Badiis kötü amaçlı yazılım varyantını ortaya çıkardı.
İlk erişim elde ettikten sonra, UAT-8099, RDP’yi etkinleştirerek, yumuşak VPN’yi kurarak, kolay merkezi olmayan VPN aracını kullanarak ve FRP ters proxy’sini ayarlayarak uzun süreli kontrolü korur.
Ayrıcalıkları kamu araçları ile artırır, ProcDump kullanarak kimlik bilgilerini döker ve Winrar ile çalınan verileri sıkıştırırlar. Diğer saldırganları kilitlemek için, bilinen bir Windows IIS güvenlik aracı olan d_safe_manage yükler.
Grubun otomasyon komut dosyaları, meşru bir WMI kod sağlayıcısının kisvesi altında bir kobalt grev işaretinin kenar yüklenmesi için modül kurulumu, RDP yapılandırması ve planlanmış görev oluşturma gibi görevleri kolaylaştırır.
Katmanlı savunmalar ve özelleştirilmiş komut dosyaları, algılamadan kaçınmasına ve tehlikeye atılan sunuculara kesintisiz erişimi sürdürmelerine yardımcı olur.
SEO manipülasyonu ve etki
Kalıcılık kurulduktan sonra, arama motoru tarayıcılarını ve insan ziyaretçilerini manipüle etmek için Badiis kötü amaçlı yazılım kullanılır.
OnBeginRequest işleyicisi, bir proxy olarak hareket edip etmeyeceğini veya kötü niyetli JavaScript enjekte edip etmeyeceğini belirlemek için HTTP başlıklarını kullanıcı ajanı ve referans değerleri için kontrol eder.
GoogleBot algılandığında, kötü amaçlı yazılım, arama sıralamalarını şişirmek için hazırlanmış içerik veya geri bağlantılar sunar. Arama motorlarından atıfta bulunulan insan kullanıcıları için, tarayıcıları kumar veya reklam sitelerine yönlendiren JavaScript’i enjekte eder.
OnSendResponse işleyicisi, özel olarak sürüngenler için tasarlanmış SEO odaklı içerik sunarak sahtekarlığı daha da artırır ve bunu hata sayfalarıyla karşılaşan kullanıcılar için hedefli yönlendirmeler izler.
Dünya çapında birden fazla IIS sunucusundan ödün vererek, UAT-8099, kötü niyetli hedeflerinin görünürlüğünü toplu olarak artıran bir yüksek retilasyon siteleri ağı oluşturur.
Android ve iOS cihazlarındaki mobil kullanıcılar özellikle etkilenir, çünkü tehlikeye atılan sunucular özel APK ve iOS uygulaması indirme sayfalarına hizmet eder.
Cisco Talos, bu kampanyayı izlemeye devam ederek, kuruluşları en son yamaları uygulayarak, dosya yükleme türlerini kısıtlayarak, güçlü hesap politikalarını uygulayarak ve sağlam izleme çözümlerini dağıtarak IIS sunucularını güvence altına almaya çağırıyor.
Bu güvenlik açıklarının ele alınmaması sadece operasyonel aksamayı riske atmakla kalmaz, aynı zamanda büyük ölçekli SEO sahtekarlığı ve kimlik bilgisi hırsızlığını da kolaylaştırır.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.