UAT-8099 SEO-Betrugskampagne
Cybersicherheitsforscher haben kürzlich eine chinesischsprachige Cybercrime-Gruppe mit dem Codenamen UAT-8099 aufgedeckt, die für ausgeklügelte Angriffe auf Microsoft Internet Information Services (IIS)-Server verantwortlich ist. Die Gruppe betreibt Suchmaschinenoptimierungsbetrug (SEO) und den Diebstahl wertvoller Anmeldeinformationen, Konfigurationsdateien und Zertifikatsdaten, was für Unternehmen weltweit ein erhebliches Risiko darstellt.
Inhaltsverzeichnis
Globale Reichweite und Zielprofil
Die Aktivitäten der Gruppe wurden vor allem in Indien, Thailand, Vietnam, Kanada und Brasilien beobachtet und betrafen Universitäten, Technologieunternehmen und Telekommunikationsanbieter. Die Angriffe von UAT-8099, die erstmals im April 2025 entdeckt wurden, konzentrieren sich hauptsächlich auf mobile Nutzer, sowohl auf Android- als auch auf iOS-Geräten.
Dieser Akteur ist Teil einer wachsenden Welle von Bedrohungsclustern mit China-Betrug, die SEO-Betrug betreiben. Zum Vergleich: Eine kürzlich durchgeführte Kampagne eines anderen Akteurs, GhostRedirector, kompromittierte mindestens 65 Windows-Server mithilfe eines bösartigen IIS-Moduls mit dem Codenamen Gamshen und zielte auf ähnliche Regionen ab.
Angriffsmethoden und Erstzugriff
UAT-8099 wählt sorgfältig hochwertige IIS-Server in Zielregionen aus und nutzt Sicherheitslücken oder schwache Datei-Upload-Konfigurationen aus. Der Ansatz umfasst:
- Hochladen von Web-Shells zum Sammeln von Systeminformationen.
- Erhöhen Sie die Berechtigungen über das Gastkonto, um Zugriff auf Administratorebene zu erreichen.
- Aktivieren des Remote Desktop Protocol (RDP) für fortlaufenden Zugriff.
Die Gruppe ergreift außerdem Maßnahmen, um den anfänglichen Angriffspunkt zu sichern und zu verhindern, dass andere Bedrohungsakteure dieselben Server kompromittieren. Cobalt Strike wird als primäre Hintertür für Aktivitäten nach der Ausnutzung eingesetzt.
Persistenz und Malware-Bereitstellung
Um die Kontrolle langfristig zu behalten, kombiniert UAT-8099 RDP mit VPN-Tools wie SoftEther VPN, EasyTier und Fast Reverse Proxy (FRP). Die Angriffskette gipfelt in der Installation der BadIIS-Malware, einem Tool, das von mehreren chinesischsprachigen Clustern verwendet wird, darunter DragonRank und Operation Rewrite (CL-UNK-1037).
Sobald der Angreifer sich Zugang verschafft hat, nutzt er GUI-Tools wie Everything, um wertvolle Daten zu lokalisieren und zu exfiltrieren, um sie weiterzuverkaufen oder weiter zu nutzen. Die genaue Anzahl der kompromittierten Server ist unbekannt.
Die BadIIS-Malware: Modi und Funktionalität
Die eingesetzte BadIIS-Variante wurde speziell modifiziert, um die Erkennung durch Antivirenprogramme zu umgehen und spiegelt die Funktionalität von Gamshen wider. Die SEO-Manipulation wird nur aktiviert, wenn Anfragen vom Googlebot stammen. BadIIS arbeitet in drei Hauptmodi:
Proxy-Modus : Extrahiert codierte C2-Serveradressen und verwendet sie als Proxys, um Inhalte von sekundären Servern abzurufen.
Injector-Modus : Fängt Browseranfragen von Google-Suchergebnissen ab, ruft JavaScript vom C2-Server ab, bettet es in die HTML-Antwort ein und leitet Benutzer auf nicht autorisierte Websites oder Anzeigen um.
SEO-Betrugsmodus : Kompromittiert mehrere IIS-Server, um das Suchmaschinen-Ranking mithilfe von Backlinks künstlich zu verbessern.
SEO-Betrug und Backlinking-Taktiken
UAT-8099 nutzt Backlinking, eine Standard-SEO-Strategie, um die Sichtbarkeit von Websites zu erhöhen. Google wertet Backlinks aus, um neue Seiten zu entdecken und die Relevanz von Keywords zu messen. Während mehr Backlinks das Ranking verbessern können, können minderwertige oder künstliche Backlinks zu Abstrafungen durch Google führen.
Durch die Kombination aus Malware-Einsatz, Web-Shell-Nutzung und strategischem Backlinking ist UAT-8099 in der Lage, Suchergebnisse zu manipulieren und kompromittierte Server effektiv zu monetarisieren, was ihn zu einem Hochrisikoakteur im SEO-Betrugsumfeld macht.
