Хакерская группировка UAT-8099 прямо сейчас ведёт активную кампанию по продвижению вредоносного контента в результатах поисковой выдачи, взламывая серверы Microsoft IIS в разных странах. Исследователи Cisco Talos выяснили, что участники этой китаеязычной группировки совмещают поисковый спам с кражей чувствительных данных — от конфигурационных файлов до SSL-сертификатов. В числе пострадавших — университеты, телеком-компании и технологические организации в Индии, Таиланде, Вьетнаме, Канаде и Бразилии.
Для достижения цели злоумышленники выбирают авторитетные и уязвимые IIS-серверы, на которых размещают веб-шеллы и вредоносное ПО BadIIS, маскирующее их деятельность и подменяющее содержимое веб-страниц. Для повышения привилегий используются публичные инструменты, после чего на сервер внедряется обратный прокси FRP, VPN SoftEther, а также утилита EasyTier. Затем активируется учётная запись гостя с правами администратора, открывается удалённый доступ через RDP, и создаётся скрытый пользователь с постоянными правами администратора.
После установки контроля над системой участники UAT-8099 приступают к анализу файлов: просматривают журналы, конфигурации, хранящиеся учётные данные и сертификаты, в том числе с помощью утилиты Everything. Полученная информация архивируется с помощью WinRAR и подготавливается к вывозу с сервера. В целях защиты своей инфраструктуры злоумышленники дополнительно устанавливают D_Safe_Manage — легальный инструмент, предотвращающий вмешательство со стороны других атакующих.
Особый интерес представляет реализация вредоносной логики в компоненте BadIIS. Она позволяет незаметно для пользователей и поисковиков выполнять редиректы и внедрять вредоносные скрипты. Обработка запросов зависит от значений HTTP-заголовков «User-Agent» и «Referer». Если запрос приходит от поискового бота Google и содержит ключевые слова, такие как «casino» или «bonus», выполняется проксирование.
Если же обращение идёт от реального пользователя, но с переходом из поисковой системы, внедряется JavaScript-код, скачивающий файл с C2-сервера и перенаправляющий пользователя на подставной сайт — как правило, с нелегальным контентом или рекламой азартных игр.
В новой версии BadIIS были обнаружены две кластера образцов. Один отличается крайне низкой детектируемостью, второй содержит отладочные строки на упрощённом китайском языке. Оба варианта используют API WriteEntityChunks для встраивания содержимого в ответ сервера, что усложняет обнаружение на уровне сети и обход систем анализа трафика. Одновременно с этим реализована полноценная логика для SEO-манипуляций: вредонос подаёт на Google десятки бэклинков с HTML-контентом, симулирующим авторитетные страницы. Это позволяет продвигать заражённые сайты в поисковой выдаче.
Для долгосрочного присутствия на скомпрометированном сервере группа применяет DLL Sideloading и загружает Cobalt Strike через легитимный компонент Windows inetinfo.exe. Первый этап загрузчика помещается в wmicodegen.dll, а далее по цепочке расшифровывается несколько уровней полезной нагрузки, включая кастомный загрузчик и beacon с маскировкой под трафик CDN и Exchange.
По мнению специалистов, такая гибридная атака, совмещающая вредоносную SEO-оптимизацию с кражей учётных данных, указывает на высокий уровень подготовки и наличие чётко выстроенной инфраструктуры. В каждом случае злоумышленники детально настраивают среду, учитывая языковые особенности региона, сигнатуры сканеров и защитные механизмы, снижая вероятность обнаружения.