UAT-8099: SEO-мошенничество на серверах IIS с BadIIS

UAT-8099: SEO-мошенничество на серверах IIS с BadIIS

Коротко: исследователи выявили кампанию китайскоязычной киберпреступной группы UAT-8099, основная цель которой — манипуляции результатами поисковых систем (SEO) за счёт компрометации дорогостоящих серверов IIS в разных странах. Затронутые ресурсы — университеты, телеком-операторы и другие организации в Индии, Таиланде, Вьетнаме, Канаде и Бразилии — перенаправляют трафик на нежелательную рекламу и нелегальные сайты азартных игр, что указывает на стратегию использования доверенных платформ для повышения эффективности мошенничества.

Кто и как пострадал

UAT-8099 целится в публично доступные и репутационно значимые платформы, чтобы:

  • использовать их доверие у поисковых систем для продвижения мошеннических страниц;
  • перенаправлять посетителей на рекламные страницы или сайты азартных игр;
  • обеспечивать долговременное присутствие на скомпрометированных хостах.

Типичные жертвы — серверы IIS, принадлежащие университетам, провайдерам связи и другим организациям с высоким рейтингом в поисковой выдаче. Нападающие эксплуатируют уязвимости в конфигурациях веб-серверов, в том числе небезопасные параметры загрузки файлов.

Техника и инструментарий преступников

Атаки UAT-8099 демонстрируют сочетание автоматизации, целевого вредоносного ПО и известных инструментов сопровождения доступа:

  • Автоматизированные скрипты — развёртываются для массового контроля над заражёнными IIS и для закрепления изменений конфигураций;
  • Cobalt Strike — используется как бэкдор; для начальной загрузки применяются техники DLL sideloading, а доступ поддерживается через запланированные задачи;
  • BadIIS — семейство вредоносного ПО, модифицированное с целью обхода антивирусных решений; выявлены два основных кластера таких образцов;
  • кодирование адресов командования и контроля (C2) для усложнения обнаружения и повышения стойкости инфраструктуры управления.

Детали работы вредоносного ПО BadIIS

Анализ показал два кластера BadIIS, оба используют обработчики с одинаковыми именами, но реализуют разный уровень логики и контроля:

  • Кластер 1 — содержит обработчики "CHttpModule::onBeginRequest" и "CHttpModule::OnSendResponse". Эти модули анализируют HTTP-заголовки и принимают решения о дальнейших действиях. При обнаружении запросов, имитирующих поисковых роботов (в частности Googlebot), злоумышленники задействуют функции прокси или инжектора, перенаправляя трафик через скомпрометированную инфраструктуру и реализуя SEO-мошенничество.
  • Кластер 2 — использует те же имена обработчиков, но добавляет дополнительные точки принятия решения до интенсивной обработки и вводит строго контролируемую фильтрацию выходных данных, чтобы снизить вероятность обнаружения другими модулями безопасности. Этот кластер поддерживает несколько режимов работы, адаптированных под разные сценарии эксплуатации в рамках SEO-мошенничества.

Оба кластера задают особое внимание определениям, похожим на поведение поисковых роботов, что позволяет им выборочно показывать вредоносный контент именно там, где это даст наибольшую выгоду для манипуляций в поисковой выдаче.

Последствия

  • Подрыв доверия к легитимным ресурсам и ухудшение репутации пострадавших организаций.
  • Незаконный трафик и потенциальный финансовый вред пользователям, перенаправленным на мошеннические или нелегальные сайты.
  • Сложности обнаружения из‑за модификаций BadIIS и использования техник, облегчающих обход средств защиты.

Рекомендации для защиты администраторов IIS

Чтобы снизить риск компрометации и быстро реагировать на инциденты, администраторам рекомендуется:

  • Провести аудит конфигураций IIS и устранить небезопасные параметры загрузки файлов; ограничить директории загрузки и проверить права доступа.
  • Обнаружить и удалить подозрительные запланированные задачи и нестандартные DLL в системных и веб-директориях (учитывая риск DLL sideloading).
  • Мониторить аномальные HTTP-запросы и попытки имитации поисковых ботов (Googlebot), внедрить валидацию и проверку real-time reverse DNS/проверку IP у поисковых роботов.
  • Ограничить исходящие соединения с серверов и отслеживать подозрительную активность, связанную с C2.
  • Внедрить WAF и правила для блокировки необычных проксированных ответов и инъекций контента.
  • Использовать EDR и сетевой мониторинг для обнаружения следов Cobalt Strike и аномалий в поведении процессов.
  • Обновлять средства безопасности и антивирусные базы — несмотря на попытки обхода, регулярные обновления повышают шансы обнаружения новых вариантов BadIIS.
  • Провести проверку целостности веб-модулей и логов, обратить внимание на модификации обработчиков вроде "CHttpModule::onBeginRequest" и "CHttpModule::OnSendResponse".

UAT-8099 демонстрирует: злоумышленники всё чаще используют репутацию легитимных инфраструктур для масштабных мошеннических кампаний, делая защиту на уровне конфигураций и мониторинга приоритетной задачей для организаций.

Вывод: кампания UAT-8099 — пример целенаправленной, технически зрелой операции по SEO-мошенничеству на базе уязвимых IIS-серверов. Комплекс мер по конфигурации, мониторингу и детектированию подозрительной активности позволит значительно снизить вероятность успешной эксплуатации и минимизировать ущерб.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: