脅威アクターUAT-8099による新たなキャンペーンが、アジア全域の脆弱なInternet Information Services(IIS)サーバーを標的にしています。
2025年後半から2026年初頭にかけて活動しているこのキャンペーンは、高度にローカライズされた攻撃へと大きく運用方針を転換していることを示しており、特にタイとベトナムの被害者に明確に焦点を当てています。
この活動クラスターは、以前に文書化されたWEBJACKキャンペーンと運用面で大きな重複を示しています。
マルウェアのハッシュ、コマンド&コントロール(C2)インフラ、被害者プロファイルなど、重要な侵害指標(IoC)を共有しています。
アクターは引き続きWebシェルやSoftEther VPNのような正規ユーティリティに依存している一方で、最新の戦術では高度な永続化メカニズムと地域特化型のマルウェア亜種が用いられています。
アクターの戦略は、検知回避のためにレッドチームツールや正規ソフトウェアを活用する方向へ進化しています。
このキャンペーンの重要な構成要素は、悪意のあるVBScriptを介して配布されるリモート制御ツールGotoHTTPの使用です。これにより攻撃者はスクリプトを実行し、リモートアクセスを維持できます。
アクターは、足場を確保しフォレンジック証拠を消去するために、特化したツール群を利用します:
タイ語の言語設定を持つ標準ユーザーが検出されると、マルウェアは悪意のあるJavaScriptリダイレクトを注入します。
UAT-8099は、セキュリティによるブロックに対応して永続化戦略を適応させてきました。当初、同グループは「“admin”」という名前の隠しユーザーアカウントに依存していました。
このアカウント名がセキュリティベンダーによって広範にフラグ付けされるようになると、アクターは「“mysql”」「“admin1″」「“admin2″」「“power”」など、別の隠しアカウントを作成する方向へ移行しました。
BadIIS感染の主目的は、検索エンジン最適化(SEO)詐欺のままです。
マルウェアは、HTMLテンプレートを読み込んでスパムキーワードを含むWebページを動的に生成する、高度なコンテンツ生成システムを作成します。
Talosintelligenceはまた、2025年10月にVirusTotalへアップロードされたBadIISのLinux実行可能リンク形式(ELF)亜種を特定しました。
この亜種は、プロキシ、インジェクター、SEO詐欺モードを含め、Windows版の機能を踏襲しており、アクターのクロスプラットフォーム能力を裏付けています。
従来のバージョンとは異なり、このLinux亜種はGoogle、Bing、Yahooのクローラーを特に標的とします。
セキュリティシステムは、Windows.Trojan.BadIISやUnix.Trojan.BadIISなど、さまざまなシグネチャでこれらの脅威を検知します。
ネットワーク防御担当者には、未承認の隠しユーザーアカウントの作成や、既知のC2インフラへのトラフィックを監視することが推奨されます。
翻訳元: https://cyberpress.org/uat-8099-exploits-iis-servers-using-web-shell-attacks/