概要

Cisco Talosの報告によると、UAT-8099と呼ばれる中国人サイバー犯罪グループが、脆弱なInternet Information Services (IIS) サーバーを悪用し、検索エンジン最適化（SEO）詐欺と高価値データの窃取を行っていることが明らかになりました。2025年4月に特定されたこのグループは、インド、タイ、ベトナム、カナダ、ブラジルといった複数の国の評判の高いIISサーバーを標的としており、大学、テクノロジー企業、通信プロバイダーなどの組織が狙われています。

攻撃の手口

UAT-8099のキャンペーンは、パッチが適用されていない、無制限のファイルアップロードを許可するIISサーバーに対する偵察から始まります。脆弱性が発見されると、攻撃者はオープンソースのASP.NETウェブシェルをアップロードし、コマンドを実行してシステム情報を収集します。この初期アクセスにより、ゲストユーザーアカウントを作成し、管理者権限に昇格させ、リモートデスクトッププロトコル（RDP）アクセスを確立します。

永続化と回避

グループはその後、ウェブシェルを展開し、オープンソースのハッキングツールとCobalt Strikeを組み合わせて永続性を確立・維持します。このキャンペーンでは、アンチウイルス検出が最小限に抑えられ、簡体字中国語のデバッグメッセージを含む「BadIIS」マルウェアの新しい亜種が複数発見されました。初期アクセス後、UAT-8099はRDPを有効にし、SoftEther VPN、EasyTier分散型VPNツール、FRPリバースプロキシを設定することで長期的な制御を確保します。彼らは公開ツールで権限を昇格させ、Procdumpを使用して認証情報をダンプし、WinRARで窃取したデータを圧縮します。さらに、他の攻撃者を締め出すために、既知のWindows IISセキュリティツールであるD_Safe_Manageをインストールします。グループの自動化スクリプトは、モジュールインストール、RDP設定、正規のWMIコードプロバイダーを装ったCobalt Strikeビーコンのサイドローディングのためのスケジュールタスク作成などのタスクを効率化し、検出を回避し、侵害されたサーバーへのアクセスを維持しています。

SEO操作と影響

永続性が確立されると、BadIISマルウェアは検索エンジンクローラーと人間の訪問者を操作するために使用されます。SEO詐欺モードでは、OnBeginRequestハンドラがHTTPヘッダーのユーザーエージェントとリファラー値をチェックし、プロキシとして機能するか、悪意のあるJavaScriptを注入するかを決定します。Googlebotが検出された場合、マルウェアは検索ランキングを上げるために細工されたコンテンツやバックリンクを提供します。検索エンジンから参照された人間ユーザーに対しては、ギャンブルサイトや広告サイトにリダイレクトするJavaScriptを注入します。OnSendResponseハンドラは、クローラー向けにSEOに特化したコンテンツを配信し、エラーページに遭遇したユーザーを対象としたリダイレクトを行うことで、詐欺をさらに強化します。UAT-8099は、世界中の複数のIISサーバーを侵害することで、悪意のある目的地への可視性を集合的に高める高評価サイトのネットワークを構築しています。AndroidおよびiOSデバイスのモバイルユーザーは特に影響を受け、侵害されたサーバーからカスタマイズされたAPKおよびiOSアプリのダウンロードページが提供されます。

推奨される対策

Cisco Talosは引き続きこのキャンペーンを監視しており、組織に対し、IISサーバーを保護するために以下の対策を講じるよう強く求めています。

• 最新のパッチを適用する。
• ファイルアップロードの種類を制限する。
• 強力なアカウントポリシーを施行する。
• 堅牢な監視ソリューションを展開する。

これらの脆弱性に対処しないと、運用の中断だけでなく、大規模なSEO詐欺や認証情報の窃取を助長するリスクがあります。

元記事: https://gbhackers.com/iis-servers-compromised-by-chinese-hackers/