UAT-8099: SEO-мошенничество на серверах IIS с BadIIS

Коротко: исследователи выявили кампанию китайскоязычной киберпреступной группы UAT-8099, основная цель которой — манипуляции результатами поисковых систем (SEO) за счёт компрометации дорогостоящих серверов IIS в разных странах. Затронутые ресурсы — университеты, телеком-операторы и другие организации в Индии, Таиланде, Вьетнаме, Канаде и Бразилии — перенаправляют трафик на нежелательную рекламу и нелегальные сайты азартных игр, что указывает на стратегию использования доверенных платформ для повышения эффективности мошенничества.
Кто и как пострадал
UAT-8099 целится в публично доступные и репутационно значимые платформы, чтобы:
- использовать их доверие у поисковых систем для продвижения мошеннических страниц;
- перенаправлять посетителей на рекламные страницы или сайты азартных игр;
- обеспечивать долговременное присутствие на скомпрометированных хостах.
Типичные жертвы — серверы IIS, принадлежащие университетам, провайдерам связи и другим организациям с высоким рейтингом в поисковой выдаче. Нападающие эксплуатируют уязвимости в конфигурациях веб-серверов, в том числе небезопасные параметры загрузки файлов.
Техника и инструментарий преступников
Атаки UAT-8099 демонстрируют сочетание автоматизации, целевого вредоносного ПО и известных инструментов сопровождения доступа:
- Автоматизированные скрипты — развёртываются для массового контроля над заражёнными IIS и для закрепления изменений конфигураций;
- Cobalt Strike — используется как бэкдор; для начальной загрузки применяются техники DLL sideloading, а доступ поддерживается через запланированные задачи;
- BadIIS — семейство вредоносного ПО, модифицированное с целью обхода антивирусных решений; выявлены два основных кластера таких образцов;
- кодирование адресов командования и контроля (C2) для усложнения обнаружения и повышения стойкости инфраструктуры управления.
Детали работы вредоносного ПО BadIIS
Анализ показал два кластера BadIIS, оба используют обработчики с одинаковыми именами, но реализуют разный уровень логики и контроля:
-
Кластер 1 — содержит обработчики
"CHttpModule::onBeginRequest"и"CHttpModule::OnSendResponse". Эти модули анализируют HTTP-заголовки и принимают решения о дальнейших действиях. При обнаружении запросов, имитирующих поисковых роботов (в частности Googlebot), злоумышленники задействуют функции прокси или инжектора, перенаправляя трафик через скомпрометированную инфраструктуру и реализуя SEO-мошенничество. - Кластер 2 — использует те же имена обработчиков, но добавляет дополнительные точки принятия решения до интенсивной обработки и вводит строго контролируемую фильтрацию выходных данных, чтобы снизить вероятность обнаружения другими модулями безопасности. Этот кластер поддерживает несколько режимов работы, адаптированных под разные сценарии эксплуатации в рамках SEO-мошенничества.
Оба кластера задают особое внимание определениям, похожим на поведение поисковых роботов, что позволяет им выборочно показывать вредоносный контент именно там, где это даст наибольшую выгоду для манипуляций в поисковой выдаче.
Последствия
- Подрыв доверия к легитимным ресурсам и ухудшение репутации пострадавших организаций.
- Незаконный трафик и потенциальный финансовый вред пользователям, перенаправленным на мошеннические или нелегальные сайты.
- Сложности обнаружения из‑за модификаций BadIIS и использования техник, облегчающих обход средств защиты.
Рекомендации для защиты администраторов IIS
Чтобы снизить риск компрометации и быстро реагировать на инциденты, администраторам рекомендуется:
- Провести аудит конфигураций IIS и устранить небезопасные параметры загрузки файлов; ограничить директории загрузки и проверить права доступа.
- Обнаружить и удалить подозрительные запланированные задачи и нестандартные DLL в системных и веб-директориях (учитывая риск DLL sideloading).
- Мониторить аномальные HTTP-запросы и попытки имитации поисковых ботов (Googlebot), внедрить валидацию и проверку real-time reverse DNS/проверку IP у поисковых роботов.
- Ограничить исходящие соединения с серверов и отслеживать подозрительную активность, связанную с C2.
- Внедрить WAF и правила для блокировки необычных проксированных ответов и инъекций контента.
- Использовать EDR и сетевой мониторинг для обнаружения следов Cobalt Strike и аномалий в поведении процессов.
- Обновлять средства безопасности и антивирусные базы — несмотря на попытки обхода, регулярные обновления повышают шансы обнаружения новых вариантов BadIIS.
- Провести проверку целостности веб-модулей и логов, обратить внимание на модификации обработчиков вроде
"CHttpModule::onBeginRequest"и"CHttpModule::OnSendResponse".
UAT-8099 демонстрирует: злоумышленники всё чаще используют репутацию легитимных инфраструктур для масштабных мошеннических кампаний, делая защиту на уровне конфигураций и мониторинга приоритетной задачей для организаций.
Вывод: кампания UAT-8099 — пример целенаправленной, технически зрелой операции по SEO-мошенничеству на базе уязвимых IIS-серверов. Комплекс мер по конфигурации, мониторингу и детектированию подозрительной активности позволит значительно снизить вероятность успешной эксплуатации и минимизировать ущерб.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



