Манипуляции Google: как группа UAT-8099 взламывает серверы с помощью BadIIS

Китайскоязычная киберпреступная группировка, получившая кодовое название UAT-8099, проводит глобальную операцию, нацеленную на мошенничество с поисковой оптимизацией (SEO) и кражу данных. Согласно данным, полученным в апреле 2025 года, основной мотивацией группы является финансовая выгода, которую она извлекает, компрометируя серверы Microsoft Internet Information Services (IIS) по всему миру.
Манипуляции Google: как группа UAT-8099 взламывает серверы с помощью BadIIS
Изображение носит иллюстративный характер

Основными целями хакеров становятся серверы IIS, принадлежащие университетам, технологическим компаниям и провайдерам телекоммуникационных услуг. Географически наибольшее число заражений зафиксировано в Индии, Таиланде, Вьетнаме, Канаде и Бразилии. Конечными жертвами атаки становятся мобильные пользователи устройств на базе Android и Apple iPhone, которых перенаправляют на вредоносные сайты.

Атака начинается с эксплуатации уязвимостей или слабых настроек в функции загрузки файлов на IIS-сервере. Первым шагом злоумышленники загружают веб-шеллы, которые используются для первичного сбора информации о скомпрометированной системе. Получив первоначальный доступ, группа активирует гостевую учетную запись и повышает ее привилегии до уровня администратора.

Для обеспечения прямого контроля над сервером UAT-8099 активирует протокол удаленного рабочего стола (RDP). Важной особенностью их тактики является немедленное устранение исходной уязвимости после взлома. Это делается для того, чтобы закрепить за собой эксклюзивный доступ к серверу и предотвратить его компрометацию другими хакерскими группами.

Для сохранения долгосрочного доступа и проведения дальнейших действий злоумышленники развертывают бэкдор Cobalt Strike. Постоянное присутствие в системе поддерживается с помощью RDP в сочетании с различными VPN-инструментами, такими как SoftEther VPN, EasyTier и Fast Reverse Proxy (FRP). Поиск ценных данных на хосте осуществляется с помощью GUI-инструмента Everything, после чего найденная информация упаковывается для перепродажи или дальнейшего использования.

Ключевым инструментом в арсенале UAT-8099 является вредоносное ПО BadIIS. Группировка использует модифицированный вариант этого вредоноса с измененной структурой кода и рабочим процессом, что позволяет ему эффективно уклоняться от обнаружения антивирусными программами. Компонент, отвечающий за SEO-манипуляции, активируется только в том случае, если веб-запрос исходит от поискового робота Google, то есть когда User-Agent идентифицируется как Googlebot.

BadIIS функционирует в трех основных режимах. В режиме прокси он извлекает встроенный адрес командного сервера (C2) и использует его для получения контента с вторичного C2-сервера. В режиме инжектора вредонос перехватывает запросы браузера, поступающие из результатов поиска Google, подключается к C2-серверу для получения вредоносного JavaScript-кода и внедряет его в HTML-ответ, перенаправляя жертву на сайты с несанкционированной рекламой или нелегальными азартными играми.

В режиме SEO-мошенничества BadIIS использует скомпрометированные IIS-серверы для размещения обратных ссылок (backlinks). Этот метод искусственно повышает рейтинг определенных веб-сайтов в поисковой выдаче Google. Поисковый движок использует обратные ссылки для обнаружения сайтов и оценки их релевантности по ключевым словам. Большое количество ссылок с авторитетных серверов заставляет поисковых роботов Google чаще посещать продвигаемый сайт, что ускоряет рост его позиций.

Исследование этой кампании было проведено организацией Cisco Talos, в частности ее исследователем Джоуи Ченом. Отмечается, что схожей деятельностью занимаются и другие группы. Компания ESET ранее сообщала о группировке GhostRedirector, также связанной с Китаем, которая скомпрометировала не менее 65 серверов Windows в Бразилии, Таиланде и Вьетнаме с помощью вредоносного IIS-модуля Gamshen.

Вредоносное ПО BadIIS также было замечено в арсенале других китайскоязычных хакерских кластеров, включая DragonRank и группу, стоящую за кампанией Operation Rewrite (также известной как CL-UNK-1037). Это указывает на широкое распространение данного инструмента среди киберпреступников, специализирующихся на SEO-мошенничестве.


Новое на сайте

20275Может ли обычное письмо взломать вашу почту в Zimbra? 20274Зачем сразу несколько разведок взломали портал полиции Белуджистана? 20273Кошельки, которые «родились слабыми»: как уязвимость Ill Bloom стоила криптовладельцам... 20272Как мошенники используют фальшивую регистрацию passkey, чтобы захватить чужой Microsoft... 20271Как безобидный установщик 7-Zip превращает компьютер в чужой прокси-сервер? 20270Термометр, а не трофей: зачем всем вдруг понадобились базы уязвимостей 20269Почему кнопка «разрешить» в AI-редакторах кода может обмануть даже опытного разработчика? 20268Как китайская группировка Silver Fox превратила инструмент против цензуры в оружие для... 20266Почему физик из Лондона получил один из самых престижных призов в науке за измерение... 20265Сколько времени нужно хакеру, чтобы взломать вашу сеть — и успеете ли вы это заметить? 20264Как ИИ-агент, который должен ловить вирусы, сам стал вирусом 20263Переговорщик по выкупам работал на тех самых хакеров, от которых должен был защищать...
Ссылка