poniedziałek, 23 marca 2026

OpenAI wprowadza reklamy w ChatGPT dla zalogowanych użytkowników w USA

Trwa kampania RondoDox: Botnet atakuje urządzenia IoT i aplikacje internetowe

Jak Bitdefender GravityZone może wspierać organizacje średniej wielkości w dążeniu do bezpieczeństwa

Nowa kampania złośliwego oprogramowania wykorzystuje repozytoria GitHub do dystrybucji PyStoreRAT

Zarządzanie ryzykiem tożsamości: Kluczowe czynniki i ich wpływ na bezpieczeństwo

Zagrożenia związane z ekspozycją aplikacji treningowych w chmurze

Podsumowanie tygodnia w cyberzagrożeniach: Nowe techniki i oszustwa

Zagrożenie bezpieczeństwa w n8n: nowa luka umożliwia zdalny dostęp dla napastników

Uncategorized

Nowa kampania cyberataków powiązana z Chinami: UAT-8099 atakuje serwery IIS

30 sty 2026
cyberlacze 0
FacebookTwitterLinkedinPinterest

Badacze zajmujący się cyberbezpieczeństwem ujawnili nową kampanię przypisywaną zagrożeniu powiązanemu z Chinami, znanemu jako UAT-8099, która miała miejsce między końcem 2025 a początkiem 2026 roku.

Aktywność ta odkryta przez Cisco Talos koncentrowała się na wrażliwych serwerach Internet Information Services (IIS) rozmieszczonych w Azji, z szczególnym naciskiem na cele w Tajlandii i Wietnamie. Na dzień dzisiejszy, skala kampanii pozostaje nieznana.

„UAT-8099 wykorzystuje web shelly oraz PowerShell do wykonywania skryptów i wdrażania narzędzia GotoHTTP, co umożliwia osobie atakującej zdalny dostęp do podatnych serwerów IIS,” powiedział badacz bezpieczeństwa Joey Chen w swoim czwartkowym zestawieniu kampanii.

Historia grupy UAT-8099

UAT-8099 po raz pierwszy został zidentyfikowany przez firmę zajmującą się cyberbezpieczeństwem w październiku 2025 roku, kiedy szczegółowo opisano jego wykorzystywanie serwerów IIS w Indiach, Tajlandii, Wietnamie, Kanadzie i Brazylii w celu osiągnięcia fałszywych korzyści z optymalizacji pod kątem wyszukiwarek (SEO). Ataki polegały na zainfekowaniu serwerów znanym złośliwym oprogramowaniem określanym jako BadIIS.

Grupa hakerska stawiana jest w kontekście pochodzenia chińskiego, a ataki mają swoje początki w kwietniu 2025 roku. Klaster zagrożeń wykazuje także podobieństwa do innej kampanii BadIIS o nazwie WEBJACK opracowanej przez fińskiego dostawcę rozwiązań w zakresie cyberbezpieczeństwa, WithSecure, w listopadzie 2025 roku, bazując na nakładach narzędzi, infrastrukturze dowodzenia i kontroli (C2) oraz typologii ofiar.

Taktyka ataku i ewolucja metod

Ostatnia kampania koncentruje się na kompromitacji serwerów IIS zlokalizowanych w Indiach, Pakistanie, Tajlandii, Wietnamie i Japonii, chociaż Cisco zauważyło „wyraźną koncentrację ataków” w Tajlandii i Wietnamie.

„Pomimo że osoba atakująca nadal polega na web shellach, SoftEther VPN oraz EasyTier do kontrolowania skompromitowanych serwerów IIS, ich strategia operacyjna ewoluowała znacząco,” wyjaśnił Talos. „Po pierwsze, ta najnowsza kampania oznacza przesunięcie ich działań w zakresie czarnej SEO w stronę bardziej konkretnego regionalnego zwrócenia uwagi. Po drugie, atakujący coraz częściej wykorzystują narzędzia red team oraz legalne oprogramowanie, aby uniknąć wykrywania i utrzymać długoterminową obecność.”

Łańcuch ataku rozpoczyna się od uzyskania przez UAT-8099 początkowego dostępu do serwera IIS, zwykle poprzez wykorzystanie luki w zabezpieczeniach lub słabych ustawień w funkcji przesyłania plików serwera WWW. Następnie osoba atakująca uruchamia szereg kroków, aby wdrożyć złośliwe ładunki, w tym:

  • Wykonanie poleceń odkrywania i rozpoznania w celu zebrania informacji o systemie
  • Wdrożenie narzędzi VPN oraz ustanowienie trwałej obecności poprzez stworzenie ukrytego konta użytkownika o nazwie „admin$”
  • Umieszczenie nowych narzędzi, takich jak Sharp4RemoveLog (usuwające dzienniki zdarzeń systemu Windows), CnCrypt Protect (ukrywające złośliwe pliki), OpenArk64 (open-source anti-rootkit do zakończenia procesów produktów zabezpieczających) oraz GotoHTTP (zdalna kontrola serwera)
  • Wdrożenie złośliwego oprogramowania BadIIS przy użyciu nowo utworzonego konta

W związku z tym, że produkty zabezpieczające podejmują kroki w celu oznaczenia konta „admin$”, osoba atakująca dodała nową kontrolę, aby sprawdzić, czy nazwa jest zablokowana, a w przypadku stwierdzenia blokady, tworzy nowe konto użytkownika o nazwie „mysql$”, aby utrzymać dostęp i prowadzić usługi oszustwa SEO BadIIS bez zakłóceń. Dodatkowo, UAT-8099 został zaobserwowany, tworząc więcej ukrytych kont, aby zapewnić trwałość dostępu.

Nowe warianty złośliwego oprogramowania BadIIS

Kolejną zauważalną zmianą jest użycie GotoHTTP do zdalnego kontrolowania zainfekowanego serwera. Narzędzie to jest uruchamiane za pomocą skryptu Visual Basic, który jest pobierany przez polecenie PowerShell wykonywane po wdrożeniu web shell.

W zainfekowanych atakami, złośliwe oprogramowanie BadIIS obejmuje dwa nowe warianty, dostosowane do celów regionalnych: BadIIS IISHijack, koncentrujący się na ofiarach w Wietnamie oraz BadIIS asdSearchEngine, który jest skierowany głównie na cele w Tajlandii lub użytkowników preferujących język tajski.

Głównym celem złośliwego oprogramowania nadal pozostaje podobny: skanowanie nadchodzących żądań do serwerów IIS w celu weryfikacji, czy odwiedzający to robot wyszukiwarki. W przypadku stwierdzenia takiego połączenia, robot jest przekierowywany na stronę oszustwa SEO. Jednakże, jeśli żądanie pochodzi od zwykłego użytkownika, a nagłówek Accept-Language wskazuje na język tajski, w odpowiedzi wstrzykiwany jest HTML zawierający złośliwy przekierowanie JavaScript.

Warianty złośliwego oprogramowania BadIIS

Cisco Talos zidentyfikowało trzy wyraźne warianty w klastrze BadIIS asdSearchEngine:

  • Wariant z wieloma rozszerzeniami, który sprawdza ścieżkę pliku w żądaniu i pomija ją, jeśli zawiera rozszerzenie z listy wykluczającej, które mogą być energochłonne lub negatywnie wpływają na wygląd strony internetowej
  • Wariant ładowania szablonów HTML, który zawiera system generacji szablonów HTML do dynamicznego tworzenia treści internetowej poprzez ładowanie szablonów z dysku lub przy użyciu wbudowanych zamienników i zastępowanie miejscami losowymi danymi, datami i treściami pochodzącymi z adresów URL
  • Wariant sprawdzania dynamicznych rozszerzeń stron/indeksu katalogu, który weryfikuje, czy żądana ścieżka odpowiada dynamicznemu rozszerzeniu strony lub indeksowi katalogu

„Uważamy, że osoba atakująca, UAT-8099, wdrożyła tę funkcję, aby priorytetowo ustawić treści SEO przy jednoczesnym zachowaniu ukrycia,” stwierdził Talos w odniesieniu do trzeciego wariantu.

„Ponieważ trujące SEO polega na wstrzykiwaniu linków JavaScript do stron, które roboty wyszukiwarek przeszukują, złośliwe oprogramowanie koncentruje się na stronach dynamicznych (np. default.aspx, index.php), gdzie te wstrzyknięcia są najskuteczniejsze. Dodatkowo, ograniczając haki do innych konkretnych typów plików, złośliwe oprogramowanie unika przetwarzania niekompatybilnych plików statycznych, zapobiegając w ten sposób generowaniu podejrzanych dzienników błędów serwera.”

Warto również zauważyć, że osoba atakująca aktywnie udoskonala wersję BadIIS dla systemu Linux. Artefakt binarny ELF przesłany do VirusTotal na początku października 2025 roku obejmuje tryby proxy, injector oraz oszustwa SEO, jak wcześniej, jednocześnie ograniczając docelowe wyszukiwarki tylko do robotów Google, Microsoft Bing oraz Yahoo!

View Full Content
Previous

Tygodniowe aktualizacje: Ciche zmiany w cyberbezpieczeństwie

Next

Podsumowanie Cyberbezpieczeństwa: Kluczowe Informacje Tygodnia

Related Posts

Uncategorized

Rosyjscy hakerzy atakują aplikacje do wiadomości, celując w osoby o wysokiej wartości wywiadowczej

22 marca, 2026
Uncategorized

Ceros: Nowa Warstwa Zaufania dla Rozwoju AI

19 marca, 2026
Uncategorized

Raport ujawnia trudności w zabezpieczaniu systemów AI

17 marca, 2026

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Check Also
Uncategorized

Rosyjscy hakerzy atakują aplikacje do wiadomości, celując w osoby o wysokiej wartości wywiadowczej

22 marca, 2026
FacebookTwitter