Китайская хакерская группа UAT-8099 атакует серверы IIS для SEO-мошенничества и кражи данных

Группировка UAT-8099, члены которой общаются на китайском языке, использует репутацию авторитетных серверов IIS в целевых регионах для искусственного завышения позиций мошеннических сайтов в результатах поиска. Помимо SEO-мошенничества, злоумышленники похищают учетные данные, файлы конфигураций и сертификаты, которые затем могут быть проданы или использованы для дальнейших атак.

Техники атаки демонстрируют высокий уровень автоматизации. После обнаружения уязвимости на целевом сервере злоумышленники загружают веб-шелл для сбора системной информации и проведения разведки в сети. Затем они активируют гостевую учетную запись, повышают ее привилегии до уровня администратора и используют для включения удаленного рабочего стола через протокол RDP. Для сохранения доступа применяются инструменты SoftEther VPN, EasyTier и FRP обратный прокси.

Особое внимание исследователей привлекло использование группировкой модифицированных версий вредоносного программного обеспечения BadIIS. Анализ образцов, обнаруженных на VirusTotal в этом году, выявил два кластера - один с крайне низким уровнем обнаружения антивирусами, другой содержащий строки отладки на упрощенном китайском языке.

Новые варианты BadIIS реализуют сложную логику обработки HTTP-запросов через обработчики OnBeginRequest и OnSendResponse. Зловред анализирует заголовки User-Agent и Referer для определения режима работы: проксирование, инъекция кода или SEO-манипуляции. При обнаружении Googlebot система перенаправляет запросы через прокси на подконтрольные злоумышленникам серверы, что позволяет манипулировать поисковой выдачей.

Для пользователей, переходящих с поисковых систем, BadIIS внедряет JavaScript-код, который перенаправляет на мошеннические сайты азартных игр или демонстрирует рекламные материалы. Исследователи отмечают адаптацию контента под целевые регионы - используются языки соответствующих стран, включая тайский, португальский и английский.

Группировка активно применяет инструменты для поддержания присутствия в системе, включая Cobalt Strike, который выполняется через технику DLL sideloading с использованием легитимного файла inetinfo.exe. Для автоматизации задач используются пакетные скрипты, которые настраивают параметры RDP, устанавливают вредоносные модули IIS и создают скрытые учетные записи.

Отдельный аспект деятельности UAT-8099 - кража ценных данных. Используя инструмент Everything для быстрого поиска файлов, злоумышленники собирают логи, учетные данные, конфигурационные файлы и SSL-сертификаты. Найденная информация архивируется с помощью WinRAR и эксфильтрируется в скрытые директории.

Исследователи подчеркивают, что основная цель атак - мобильные пользователи, причем затрагиваются как устройства на Android, так и iPhone. Компрометированные серверы перенаправляют пользователей на сайты, предлагающие загрузку APK-пакетов и приложений для iOS, связанных с азартными играми.

Обнаруженная кампания демонстрирует растущую изощренность киберпреступных групп, специализирующихся на SEO-мошенничестве. Использование легитимных инструментов и техник уклонения от обнаружения позволяет им длительное время оставаться незамеченными, в то время как компрометация авторитетных серверов дает возможность манипулировать результатами поиска в крупных масштабах. Специалисты по безопасности рекомендуют организациям, использующим IIS, усилить мониторинг подозрительной активности и регулярно обновлять системы для защиты от подобных атак.

Domains

• alex.rootggseo.com
• ar.ggseocdn.com
• ar.mnnoxzmq.com
• aspx2.ggseocdn.com
• buvmfuwecndskmkvhndfjk.dfbdfwrthgef.top
• bx.ggseocdn.com
• bx.westooo.com
• bxphp.ggseocdn.com
• ceshi.mejsc4.com
• cheng.win123888.com
• google.dfbdfwrthgef.top
• iis.ihack.one
• joyddll.westooo.com
• joydphp.westooo.com
• link.mejsc4.com
• list.ggseocdn.com
• meindi11.com
• mejsc1.com
• mo2dll.win123888.com
• modll.win123888.com
• mulu.ihack.one
• suidcbdewjskbcsdjvbwehcsdj.dfbdfwrthgef.top
• tdk.ihack.one
• th1.ggseocdn.com
• th1.win123888.com
• x2.ggseocdn.com
• x3.ggseocdn.com
• x5.westooo.com
• xl.luodixijin.com
• xldll.xijingdafa.com

URLs

• https://cdn.windowserrorapis.com:8443/v5/owa/rYpKZYehSa0sW1gFbbaVg4KB1m.cab

SHA256

• 046417685ad2eb075f33a0f757391df84750d2395fa6f82b1f05359710b7c9b6
• 0511345f452e8c5ff2ca903553ba72f4fcb4f029f72b12e27f6a33e33977e5d2
• 088fa3063c3015978955b572d5ddcff0838a945ce25665f24cca83d33e039cb9
• 0afa8830d2c664a192af94b638ab6b1c096d13e41a7f1886b71ff020e0d9bd93
• 0c364717dea76cbff870a2dbf2099213615a4caacaa5de61f7271c7eec73759f
• 0c532a4a9f398fa2f5e12c2eac00c81ff4a70ac6746cf462c3f2206ed910693f
• 1149c50a049dca8ada30247532d0b2f18b94c199b45fd5dc129b5a9fda0991e9
• 299aabc6b9b03d92a6aed9d12eed45a669e5795763092693ac98322107cf8217
• 2eedd804c1fa4578485b55f4872145b7f891016510fe88fa760b61b8248dec82
• 49740a5785f0d6790ee7f82915d2a95866332fc3eaf6fb0da59645404e4aed0c
• 5284d5e034aa8c077469d3ef8fb2c09aa041c475703ea99c87855cf6eecf9564
• 5a6dd4bb2db005adee56732b96fa6f4ceed47fc42298daf7bb3e6db32b59eac6
• 704ce326c380e4a35594df2b7d9bd17517709378451f3d9788728d01df36d0f6
• 7276bc5fe4d29daf7a23a9a68022330290be45cc3a5a1d76e82063135b85ce5c
• 74eb8d245d5571f3ee9a4e5417fb919034662681ff26a298a3526032307f16a4
• 762db01f0dc61a3f4aa1695cb24a92fa21d236d8c5577926337ac1799d6569a5
• 78f813c4474dcb4a1be9354d341bedcae6ef8689828a150c5936c308a0490777
• 7ddf475abc6e01a1e703f4c54e5a2c8601fef4767b3b1859b78cfdc18b173004
• 85cf3c802a97facb5ae4c1e945c5042915017f35bdf1a570754b88710facf3f3
• 8b2a61f29fdeda908d299515975a4dd3abd1a7508dbe8487bcb2a56fad2ec16f
• 94d8eaef036231cd604d0c769f0918e826501644a149876c09e967811c104860
• b3d08508b1e8962e56da007408450e2a40fae8cac1ee7d526914be80e31f6854
• b8626f0c45c68f6176540a64e2f8c6d5ac8b942a5ec030b590870a6eaffb931f
• c85a942a0d17c7accbabbf68ce04635327b757a662687c798e998c983c2a744c
• cbb4a9172f4b0185d3aecbaa60b8e04d8910889da8905e5089df3efdec0a38dd
• cd86344937c7e7c9895fde8eecc682eb347c583e1ded491075aef548a8e255a4
• e042f1a9b0a1d69311a5a1bd4eea37cc1a8a02cffe3f9ad5eb0c78fa79f326e2
• e1342bca7bc4f3ff9453c68cd16532f4e6567a1ada37b6e2635cbc1c1ba325ac
• ee6288fa8e5f111571475211b15522bc987da8421e9687a8089d1edef1df14a2
• f659c4cfe4517a07b9c944cb7818be4022fdc42187766808ad02987a4152a875
• f7cc8cf5a8e565c1aa8b7bd524f4f9fac392387de749657cb9d1cf4d694c4ad2
• fee057cee9da92d3d29078e7c30da7472ce99cc2ecaf4e13e8b3d6f266a6d35f