TokyoBlackHatNews

csoonline.com 4分で読了

新たに発見された脅威グループがSEO詐欺のためにIISサーバーを乗っ取っているとCisco Talosが警告

ニュース

2025年10月3日4分

サイバー攻撃インターネットセキュリティセキュリティ

UAT-8099によるキャンペーンは4月から複数国のセキュリティが弱いウェブサーバーを標的にし始めた。

中国語を話すサイバー犯罪グループが、検索エンジン最適化(SEO)詐欺や高価値データの窃取のために、脆弱なInternet Information Server(IIS)ウェブサーバーを積極的に標的にしているとCisco Talosの研究者が警告しています。

現在、攻撃のリスクが最も高いサーバーは、インド、タイ、ベトナム、カナダ、ブラジルの大学、テクノロジー企業、通信事業者にあると同社は述べています。

この標的選定は偶然ではありません。UAT-8099と特定されたこのグループは、SEO詐欺活動が検知・ブロックされにくい高いドメインおよびIPレピュテーションを持つ被害者を選んでいます。

Cisco Talosは、グループがどれだけのサーバーを侵害したかは明らかにしていませんが、独自のIDが付与されていることから、その規模が大きいことが示唆されます。また、このキャンペーンが最終的に米国や英国を含む他国にも拡大する可能性があります。

Ciscoが説明するツール、手法、手順(TTPs)は、SEO詐欺の深層的な仕組みについて興味深い洞察を与えています。

UAT-8099は、コンテンツ管理システム(CMS)などのアプリケーションで無制限のファイルアップロードを許可している、設定が不十分なIISサーバーを初期侵入の標的とします。

グループはこの機能を悪用してウェブシェルをアップロードし、ゲストアカウントを作成しますが、その権限はすぐに管理者レベルに昇格されます。その後、リモートデスクトッププロトコル(RDP)が有効化され、攻撃者はサーバーを十分に制御できるようになり、BadIIS SEOマルウェアをインストールします。

永続化を達成するため、攻撃者は隠し管理者アカウントを作成します。SoftEther VPNやEasyTier分散型VPNツールを使ってバックドアアクセスを有効化し、RDPトラフィックを隠して検知を回避します。また、FRPリバースプロキシを利用してサーバーから外部への接続を開始し、侵害をさらに隠蔽します。

他の犯罪グループが侵害済みサーバーを悪用するのを防ぐため、UAT-8099はD_Safe_Manage IISセキュリティツールをインストールします。これは、本来防御側が同様の目的でこのツールや同等のものを使うべきだったことを皮肉っています。

なぜSEO詐欺なのか?

検索エンジン、特にGoogleを汚染することは、サイバー犯罪の重要な手段です。

この行為の目的は、悪意のあるリンクや詐欺リンクを検索結果の最上位付近に引き上げることです。

攻撃者がこれらのリンクを悪意のあるウェブサイトから提供した場合、簡単にフィルタリングされてしまいます。そこで、できれば高い評価のドメインやIPを持つ他人のサイトを乗っ取るのです。これにより、検索クローラーは攻撃者がキーワードをちりばめ、他の同様に乗っ取られた信頼性の高いウェブサーバーへの隠しバックリンクを埋め込んだページを、信頼できるIISサーバー上で発見します。

これにより、これらのページの検索順位が上がり、ユーザーの目に留まりやすく、クリックされやすくなります。ユーザーがクリックすると、クローラーには見えない他の場所にホストされた広告や悪意のあるランディングページが表示されます。

バックアップの収益源として、UAT-8099は侵害したサーバー上で見つけた認証情報やその他の機密データも盗み、他の犯罪者に再販しています。

対策

IISおよびその上で動作するアプリケーションは、CVEレベルの脆弱性や設定ミスを悪用する攻撃者の標的になりやすいです。その一例が2025年初頭のCityworks RCE脆弱性です。また、7月には北朝鮮のLazarusグループが韓国のIISサーバーを侵害し、INISAFE CrossWeb EX V6銀行セキュリティソフトのユーザーにマルウェアを配布したと報告されています。

現在の攻撃は少なくとも4月から続いているため、組織はまず自社のIIS環境に既存の侵害がないか確認すべきです。そのために、Cisco TalosはGithubページでUAT-8099に関連するファイルハッシュや悪意のあるドメインを公開しており、ログで確認できます。

また、IISがアップロードされたスクリプトやファイルを実行しないよう、アップロードフォルダにStaticFileハンドラーを追加してサーバーを設定すべきです。これにより、攻撃者が無害に見えるアップロードの背後に実行ファイルやスクリプトを隠すのを防げます。

最後に、ポート3389でのRDPアクセスを無効化し、すべての管理者アクセスに多要素認証(MFA)を有効にすることが重要です。最低限、SIEMを有効にしてIISからのログを取り込みましょう。適切なアラートを設定しておけば、異常なファイル変更や追加を検知できます。

翻訳元: https://www.csoonline.com/article/4067773/newly-discovered-threat-group-hijacking-iis-servers-for-seo-fraud-warns-cisco-talos.html

ソース: csoonline.com
#.NET malware #AI in Cybersecurity #AI_vulnerabilities #Browser Data Theft #Center for Internet Security #Cisco Talos #IIS servers #SEO fraud #UAT-8099 #web server attacks

関連記事

2年前のOracle WebLogic Server脆弱性が悪用される

HP Poly VoIP脆弱性が幹部音声ディープフェイクへの道を開く

トランプ大統領、撤回したAI大統領令の一部をサイバーセキュリティ重視の指令として復活