Cisco Talosによると、中国語話者のサイバー犯罪グループが、世界中の信頼されたInternet Information Services(IIS)を乗っ取り、ユーザーを怪しい広告やギャンブルサイトへリダイレクトするSEO詐欺を実行していることが判明した。
UAT-8099として追跡されているこのグループは、評判の良いIISサーバーを悪用し、金銭的利益のために検索エンジンの結果を操作している。
侵害されたIISサーバーは、ユーザーを無許可の広告または違法なギャンブルサイトへリダイレクトする。
影響を受けたIISサーバーは、Ciscoのファイル・センサスおよびDNSトラフィック分析に基づき、インド、タイ、ベトナム、カナダ、ブラジルで確認され、大学、テック企業、通信事業者などの組織が標的となっていた。
標的の大半はモバイルユーザーで、Android端末だけでなくAppleのiPhone端末も含まれる。
Cisco Talosは、UAT-8099キャンペーンに関する攻撃チェーンの全容と追加の調査結果を、2025年10月2日に公開したブログで詳述した。
同社は、グループが標的サーバーの脆弱性を発見すると、システム情報を収集するためにWebシェルをアップロードし、ホストネットワークの偵察を行うと説明している。
情報収集が完了すると、UAT-8099はゲストアカウントを有効化し、権限を管理者レベルまで昇格させ、このアカウントを使ってリモートデスクトッププロトコル(RDP)を有効化する。
永続化のため、攻撃者はRDPアクセスに加え、 SoftEther VPN 、 EasyTier (分散型の仮想プライベートネットワークツール)および FRP リバースプロキシツールを組み合わせている。
その後、グループは共通ツールを用いてさらなる権限昇格を行い、システムレベルの権限を取得して、BadIISマルウェアをインストールする。
足場を確保するため、彼らは他の脅威アクターが同じサーバーを侵害したり、構築した環境を妨害したりできないようにする防御機構を展開する。
新たなマルウェアサンプルを特定
Cisco Talosは2025年4月に同グループの活動を特定し、キャンペーン内で複数の新しいBadIISマルウェアサンプルを発見した。
Talosは分析の中で、このキャンペーンで使用されたBadIISの亜種が、2021年に以前文書化された亜種と機能面およびURLパターンに類似性を示していたと述べた。
ただし、このバージョンはコード構造が変更され、アンチウイルス製品による検知を回避するための機能的なワークフローを備えていた。
Talosは今年、VirusTotal上でBadIISマルウェアの複数の事例を確認しており、検知が非常に低いクラスターが1つ、簡体字中国語のデバッグ文字列を含む別のクラスターが1つ見つかった。
翻訳元: https://www.infosecurity-magazine.com/news/chinese-cybercrime-hijacks-servers/
