サイバーニュース.jp

世界のサイバーなニュースを配信

中国関連のUAT-8099がアジアのIISサーバーを標的に、BadIIS SEOマルウェアを展開

カテゴリ:

UAT-8099の新たな攻撃キャンペーン

サイバーセキュリティ研究者たちは、中国関連の脅威アクターUAT-8099による新たなキャンペーンを発見しました。この活動は2025年後半から2026年初頭にかけて行われ、アジア全域、特にタイとベトナムの脆弱なInternet Information Services (IIS) サーバーを標的としています。

Cisco Talosのセキュリティ研究者Joey Chen氏によると、「UAT-8099は、ウェブシェルとPowerShellを使用してスクリプトを実行し、GotoHTTPツールを展開することで、脆弱なIISサーバーへのリモートアクセスを確立しています。」

脅威アクターUAT-8099の背景

UAT-8099は、2025年10月に初めてCisco Talosによって文書化されました。当初のレポートでは、インド、タイ、ベトナム、カナダ、ブラジルのIISサーバーを悪用し、検索エンジン最適化 (SEO) 詐欺を目的としていたことが詳述されています。この攻撃には、BadIISマルウェアの感染が伴っていました。このハッキンググループは中国を起源とし、その攻撃は2025年4月にまで遡ると評価されています。

この脅威クラスターは、フィンランドのサイバーセキュリティベンダーWithSecureが2025年11月に「WEBJACK」と命名した別のBadIISキャンペーンと、ツール、コマンド&コントロール (C2) インフラ、および被害地域の重複において類似点を共有しています。

最新キャンペーンの標的と戦術の変化

最新のキャンペーンは、インド、パキスタン、タイ、ベトナム、および日本のIISサーバーの侵害に焦点を当てており、Ciscoは特にタイとベトナムでの攻撃の集中を観測しています。

Talosは「脅威アクターはウェブシェル、SoftEther VPN、EasyTierを使い続けているものの、その運用戦略は大きく進化しました」と説明しています。主な変化は以下の通りです。

  • 地域特化型SEO戦術への移行: より特定の地域に焦点を当てています。
  • レッドチームユーティリティの活用: 検出を回避し、長期的な永続性を維持するために、レッドチームユーティリティや正規のツールをますます利用しています。

攻撃フローの詳細

攻撃チェーンは、UAT-8099がIISサーバーへの初期アクセスを獲得することから始まります。これは通常、セキュリティ脆弱性の悪用、またはウェブサーバーのファイルアップロード機能における設定の甘さを突くことによって行われます。その後、脅威アクターは悪意のあるペイロードを展開するための一連のステップを実行します。

  • システム情報を収集するための検出および偵察コマンドを実行。
  • VPNツールを展開し、「admin$」という隠しユーザーアカウントを作成して永続性を確立。
  • 新しいツール(Sharp4RemoveLogCnCrypt ProtectOpenArk64GotoHTTP)を投下。
  • 新しく作成されたアカウントを使用してBadIISマルウェアを展開。

永続化メカニズムの進化

セキュリティ製品が「admin$」アカウントをフラグ付けするようになったため、脅威アクターは、この名前がブロックされているかを確認する新しいチェックを追加しました。ブロックされている場合は、アクセスを維持し、BadIIS SEO詐欺サービスを中断なく実行するために、「mysql$」という新しいユーザーアカウントを作成する手順に進みます。さらに、UAT-8099は永続性を確保するために、より多くの隠しアカウントを作成していることが観察されています。

BadIISマルウェアの亜種

攻撃で展開されるBadIISマルウェアには、特定の地域を標的とするためにカスタマイズされた2つの新しい亜種が存在します。

  • BadIIS IISHijack: ベトナムの被害者を標的にしています。
  • BadIIS asdSearchEngine: 主にタイの標的、またはタイ語の言語設定を持つユーザーを対象としています。

マルウェアの最終目標は依然としてほぼ同じです。IISサーバーへの受信リクエストをスキャンし、訪問者が検索エンジンのクローラーであるかどうかを確認します。もしクローラーであれば、SEO詐欺サイトにリダイレクトされます。しかし、リクエストが通常のユーザーからであり、リクエストのAccept-Languageヘッダーがタイ語を示している場合、悪意のあるJavaScriptリダイレクトを含むHTMLがレスポンスに挿入されます。

BadIIS asdSearchEngineの特殊なバリアント

Cisco Talosは、BadIIS asdSearchEngineクラスター内に3つの異なるバリアントを特定しました。

  • 排他的な複数拡張子バリアント: リクエスト内のファイルパスをチェックし、除外リストにある拡張子(リソースを大量に消費したり、ウェブサイトの外観を損なう可能性のあるもの)が含まれている場合は無視します。
  • HTMLテンプレート読み込みバリアント: HTMLテンプレート生成システムを含み、ディスクからテンプレートを読み込んだり、埋め込まれたフォールバックを使用したりして、ランダムなデータ、日付、URL由来のコンテンツでプレースホルダーを置き換えることで、動的にウェブコンテンツを作成します。
  • 動的ページ拡張子/ディレクトリインデックスバリアント: 要求されたパスが動的ページ拡張子またはディレクトリインデックスに対応するかどうかをチェックします。

Talosは3番目のバリアントについて、「脅威アクターUAT-8099は、ステルス性を維持しつつ、SEOコンテンツのターゲティングを優先するためにこの機能を実装したと評価しています。SEOポイズニングは、検索エンジンがクロールするページにJavaScriptリンクを注入することに依存するため、マルウェアはこれらの注入が最も効果的な動的ページ(例:default.aspx、index.php)に焦点を当てています。さらに、他の特定のファイルタイプへのフックを制限することで、マルウェアは互換性のない静的ファイルの処理を回避し、疑わしいサーバーエラーログの生成を防いでいます。」

Linux版BadIISの進化

脅威アクターがLinux版BadIISを積極的に改良している兆候も見られます。2025年10月初旬にVirusTotalにアップロードされたELFバイナリのアーティファクトには、以前と同様にプロキシ、インジェクター、SEO詐欺モードが含まれていますが、標的となる検索エンジンをGoogle、Microsoft Bing、Yahoo!のクローラーのみに限定しています。

元記事: https://thehackernews.com/2026/01/china-linked-uat-8099-targets-iis.html

投稿をさらに読み込む