UAT-8099 adlı Çin bağlantılı siber suç grubu, dünya genelinde ele geçirdiği Microsoft IIS sunucularını kullanarak kapsamlı bir SEO dolandırıcılığı ağı işletiyor. Bu tehdit aktörü, özellikle Hindistan, Tayland, Vietnam, Kanada ve Brezilya’daki üniversiteler, teknoloji şirketleri ve telekom sağlayıcılarını hedef alıyor.
Hedef ve Yöntemler
Grup, zayıf yapılandırılmış IIS sunucularına web kabukları yükleyerek sistem bilgilerini topluyor ve misafir hesaplarını yönetici haklarına yükselterek RDP üzerinden erişim sağlıyor. Kalıcılık için Cobalt Strike, SoftEther VPN, EasyTier ve Fast Reverse Proxy gibi araçlar kullanılıyor. Ayrıca, BadIIS adlı kötü amaçlı yazılım ile SEO sıralamalarını manipüle ediyorlar.
BadIIS Kötü Amaçlı Yazılımının İşleyişi
BadIIS, antivirüslerden kaçmak için kod yapısını değiştirmiş bir varyant olup üç modda çalışıyor: Proxy, Injector ve SEO dolandırıcılığı. Özellikle Googlebot User-Agent taleplerine yanıt vererek, arama sonuçlarına yetkisiz reklamlar veya yasa dışı bahis sitelerine yönlendirmeler ekliyor. Ayrıca, backlink verme yöntemiyle web sitelerinin arama motoru sıralamalarını yapay olarak yükseltiyorlar.
Tehditin Önemi
Bu saldırılar, yüksek değerli kimlik bilgileri, yapılandırma dosyaları ve sertifika verilerinin çalınmasıyla finansal kazanç amaçlıyor. UAT-8099, ele geçirilen sunucularda kontrolü sağlamaya yönelik önlemler alarak diğer tehdit aktörlerinin müdahalesini engelliyor. Siber güvenlik uzmanlarının bu tür tehditlere karşı IIS sunucularının güvenlik ayarlarını güçlendirmesi kritik önem taşıyor.