گروه سایبری چینی‌زبان UAT-8099 به صورت پنهانی در حال نفوذ به سرورهای با ارزش خدمات اطلاعات اینترنتی مایکروسافت (IIS) در سراسر جهان است تا عملیات گسترده کلاهبرداری در بهینه‌سازی موتورهای جستجو (SEO) را پیش ببرد. این حملات پیچیده، که از اوایل سال ۲۰۲۵ مشاهده شده‌اند، نه تنها رتبه‌بندی وب‌سایت‌ها را دستکاری می‌کنند، بلکه اعتبارنامه‌های حساس، داده‌های گواهی و فایل‌های پیکربندی را نیز به سرقت می‌برند. شرکت‌های فناوری، دانشگاه‌ها و ارائه‌دهندگان مخابراتی در کشورهایی نظیر هند، تایلند، ویتنام، کانادا و برزیل هدف اصلی این حملات هستند.

جزئیات حمله و بدافزار سفارشی

این کمپین از ابزارهای شناخته‌شده‌ای مانند Cobalt Strike، ابزارهای متن‌باز هک و یک بدافزار سفارشی‌سازی شده به نام BadIIS بهره می‌برد.

روش نفوذ اولیه:

• حمله با سوءاستفاده از پیکربندی‌های ضعیف آپلود فایل در سرورهای IIS آغاز می‌شود.

• پس از شناسایی سرور آسیب‌پذیر، مهاجمان یک وب‌شل ASP.NET (مانند server.ashx) را برای دستیابی اولیه و اجرای دستورات شناسایی (Reconnaissance) در سیستم قرار می‌دهند.

زنجیره حمله و پایداری:

1. ایجاد کاربران جدید و ارتقاء سطح دسترسی.

2. فعال‌سازی دسترسی RDP (Remote Desktop Protocol) برای دسترسی از راه دور طولانی‌مدت.

3. استقرار ابزارهای VPN مانند SoftEther و FRP برای پایداری و مخفی‌کاری، همراه با ایجاد یک حساب پنهان admin$ برای دسترسی پایدار.

نقش بدافزار BadIIS: این بدافزار، که قلب عملیات است، با اتصال به کنترل‌کننده‌های اصلی IIS، دو هدف اصلی را دنبال می‌کند:

1. حالت تزریق (Injector Mode): رهگیری درخواست‌های کاربرانی که از نتایج جستجوی گوگل وارد وب‌سایت می‌شوند. این بدافزار کدهای جاوا اسکریپت مخرب را به پاسخ HTML تزریق می‌کند تا قربانیان را به سایت‌های قمار غیرقانونی یا تبلیغات بدافزاری هدایت کند.

2. حالت تقلب SEO: شناسایی User-Agent مربوط به ربات‌های گوگل (Googlebot) و ارائه محتوای دستکاری شده و پر از بک‌لینک‌های سنگین به این ربات‌ها. هدف نهایی این بخش، فریب الگوریتم‌های گوگل و دستکاری رتبه‌بندی جستجو برای کلمات کلیدی مرتبط با قمار و شرط‌بندی است.

تأثیر کلی تهدید

این آسیب‌پذیری‌ها از خطرناک‌ترین نوع حملات محسوب می‌شوند، زیرا به مهاجم اجازه می‌دهند تا کنترل کامل سرور IIS را به دست بگیرد. بهره‌برداری موفق به گروه UAT-8099 اجازه می‌دهد:

• اعتبارنامه‌های حساس را به سرقت ببرند.

• ترافیک کاربران قانونی را به وب‌سایت‌های مخرب هدایت کنند.

• رتبه‌بندی قانونی وب‌سایت‌های هدف را تخریب کرده و اعتبار SEO آن‌ها را از بین ببرند.

چگونه از خود محافظت کنیم؟

مدیران سیستم که سرورهای IIS را اجرا می‌کنند باید فوراً اقدامات زیر را انجام دهند تا از حملات این گروه در امان بمانند:

• ممیزی تنظیمات آپلود فایل: تنظیمات IIS خود را برای جلوگیری از آپلود فایل‌های اجرایی یا وب‌شل در دایرکتوری‌های حساس فوراً بازبینی کنید.

• تقویت سیاست‌های RDP: سیاست‌های دسترسی از راه دور (RDP) را سخت‌گیرانه‌تر اعمال کرده و مطمئن شوید که دسترسی‌های پنهان یا غیرمجاز (مانند حساب admin$) وجود ندارند.

• استقرار حفاظت از شبکه و نقاط پایانی: از راه‌حل‌های امنیتی پیشرفته (مانند Cisco Secure Endpoint و Secure Firewall) برای شناسایی و مسدود کردن بدافزار BadIIS و فعالیت‌های مشکوک مرتبط با RDP استفاده کنید.