СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 15:36
#ИБ#Инфра

UAT-8099: BadIIS, GotoHTTP и атаки на IIS в Азии

Специалисты Cisco Talos опубликовали исследование новой хакерской кампании, приписываемой группе UAT-8099. По данным исследователей, активность велась с конца 2025 по начало 2026 года и была сосредоточена в первую очередь на уязвимых серверах Microsoft IIS в странах Азии, с наибольшим числом атак в Таиланде и Вьетнаме. Кампания демонстрирует операционное сходство с ранее известной инициативой WEBJACK — совпадают хэши вредоносных компонентов, инфраструктура C2 и профиль жертв.

Что обнаружили аналитики

  • UAT-8099 использует web shells и сценарии PowerShell для доставки и развёртывания средства удалённого доступа GotoHTTP, дающего злоумышленникам широкий контроль над заражёнными IIS-серверами.
  • Обнаружены две новые ветви вредоносного семейства BadIIS, ориентированные на SEO-мошенничество: BadIIS IISHijack и BadIIS asdSearchEngine. Они демонстрируют продвинутые механизмы таргетинга и региональную адаптацию.
  • Зафиксирован также вариант BadIIS в формате ELF, проявляющий функциональность, схожую с Windows-версиями (режимы proxy, injector и SEO-мошенничество). Один из образцов был загружен в VirusTotal, что помогло связать кампанию с UAT-8099 через пересекающиеся домены C2 и другие характерные индикаторы.

География и временные рамки

По информации Talos, активность группы достигла пика в период с августа 2025 года по начало 2026 года. Хотя основное внимание уделялось Таиланду и Вьетнаму, атаки также затронули организации в Индии, Пакистане и Японии, что указывает на более широкую региональную экспансию.

Цепочка компрометации

Исследователи Talos описывают следующий типовой сценарий заражения:

  1. Разведка: сбор системной информации и определение уязвимых IIS-хостов.
  2. Закрепление: создание скрытой учётной записи (отмечена как «admin$») для обеспечения устойчивого доступа.
  3. Дальнейшее развертывание через web shell: исполнение команд PowerShell для загрузки и запуска вредоносного VBScript.
  4. Установка GotoHTTP: вредоносный VBScript инсталлирует клиент GotoHTTP и обеспечивает удалённый доступ злоумышленнику.
  5. Эксфильтрация конфигурации: злоумышленник извлекает файл GotoHTTP.ini, содержащий параметры для доступа к заражённому хосту.

Технологии и возможности BadIIS

Последние версии BadIIS показывают явную адаптацию к региональным особенностям атакуемых ресурсов:

  • Жёстко закодированные фильтры расширений файлов, исключающие проверку определённых типов запросов.
  • Динамические конфигурации страниц и уникальные HTML-шаблоны, позволяющие выдавать поддельный контент, ориентированный на локальную аудиторию.
  • Механизмы прогнозирования пути запроса и поддержка динамического потока обработки payload’ов.
  • Один из вариантов включает систему генерации контента с плейсхолдерами, заполняемыми случайными данными и соответствующими URL-адресами, что усложняет обнаружение и автоматический анализ.
  • ELF-версия BadIIS реализует функции proxy и injector, что расширяет возможности злоумышленников по использованию Linux-хостов в цепочке атак и маскировке трафика.

Продолжающаяся эволюция BadIIS демонстрирует способности и адаптивность UAT-8099 и подчёркивает необходимость усиления защитных мер, — указывают аналитики Cisco Talos.

Доказательства связи с UAT-8099

  • Совпадающие хэши вредоносных образцов и общая инфраструктура C2.
  • Перекрывающиеся домены серверов C2 и сходные профили жертв.
  • Появление образцов на платформах вроде VirusTotal, что позволило аналитикам коррелировать данные и подтвердить связь между инцидентами.

Рекомендации по защите

Учитывая характер атак и применяемые инструменты, следует предпринять следующие меры:

  • Обновить и патчить IIS и сопутствующее ПО; закрыть известные векторы эксплуатации.
  • Провести аудит учётных записей на предмет скрытых аккаунтов (особенно с именами типа «admin$») и удалить/заблокировать подозрительные.
  • Включить и анализировать логи PowerShell, IIS и веб-серверов; использовать EDR/логирование для детектирования web shells и аномальной активности.
  • Проверить наличие файлов конфигурации типа GotoHTTP.ini и следов загрузки VBScript/инусталляторов GotoHTTP.
  • Блокировать известные домены и IP-индикаторы C2, обмениваться IOC с отраслевыми партнёрами.
  • Мониторить Linux-хосты на предмет ELF-бинарников с функциями proxy/injector и проверять аномалии сетевого трафика.
  • Проводить регулярные проверки целостности веб-контента и защиту от SEO-мошенничества (включая контроль за динамически генерируемыми страницами).

Вывод

Исследование Cisco Talos указывает на целенаправленную и адаптивную кампанию UAT-8099, нацеленную на IIS-инфраструктуру в регионе Азии с распространением на другие страны. Эволюция семейства BadIIS и интеграция инструментов вроде GotoHTTP демонстрируют, что злоумышленники продолжают совершенствовать методы скрытой эксплуатации и злоупотребления веб-платформами. Организациям, особенно в регионах повышенного риска, рекомендуется немедленно пересмотреть меры защиты веб-инфраструктуры и внедрить перечисленные контрмеры.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: