Cisco Talos đã tiết lộ rằng UAT-8099, một nhóm tội phạm mạng nói tiếng Trung Quốc, đã thực hiện các tấn công mạng để khai thác các máy chủ Internet Information Services (IIS) dễ bị tổn thương trên nhiều quốc gia.

Mục tiêu của nhóm là thực hiện hành vi gian lận tối ưu hóa công cụ tìm kiếm (SEO) và đánh cắp dữ liệu giá trị cao. Hoạt động này cho thấy sự phức tạp và quy mô của các chiến dịch tấn công mạng hiện nay.

Nhóm Tấn Công UAT-8099 và Mục Tiêu

Nhóm UAT-8099 được xác định vào tháng 4 năm 2025. Nhóm này nhắm mục tiêu vào các máy chủ IIS uy tín.

Các quốc gia bị ảnh hưởng bao gồm Ấn Độ, Thái Lan, Việt Nam, Canada và Brazil. Các tổ chức mục tiêu chủ yếu là các trường đại học, công ty công nghệ và nhà cung cấp dịch vụ viễn thông.

Mục tiêu chính của các cuộc tấn công mạng này là tăng thứ hạng tìm kiếm của các trang web độc hại. Sau đó, chúng chuyển hướng lưu lượng truy cập hợp pháp đến các quảng cáo trái phép và nền tảng cờ bạc bất hợp pháp.

Khai Thác Lỗ Hổng IIS và Quyền Truy Cập Ban Đầu

Chiến dịch của UAT-8099 bắt đầu bằng việc trinh sát các máy chủ IIS chưa được vá.

Các máy chủ này cho phép tải lên tệp không hạn chế, tạo điều kiện thuận lợi cho việc khai thác lỗ hổng IIS. Đây là bước đầu tiên để thiết lập sự hiện diện trong hệ thống mục tiêu.

Khi một lỗ hổng được tìm thấy, các tác nhân đe dọa sẽ tải lên một Web shell ASP.NET mã nguồn mở. Web shell này được sử dụng để thực thi các lệnh và thu thập thông tin hệ thống.

Quyền truy cập ban đầu này cho phép chúng tạo và nâng quyền một tài khoản người dùng khách (guest user) lên đặc quyền quản trị viên. Từ đó, nhóm có thể kích hoạt quyền truy cập Remote Desktop Protocol (RDP).

Phương Thức Duy Trì Quyền Truy Cập và Khai Thác Chuyên Sâu

Sau khi có được quyền truy cập ban đầu, nhóm tiến hành triển khai các Web shell và sử dụng các công cụ tấn công mã nguồn mở.

Chúng còn kết hợp với Cobalt Strike để thiết lập và duy trì sự bền bỉ trên hệ thống. Cobalt Strike là một công cụ mạnh mẽ thường được các nhóm APT sử dụng.

Cisco Talos đã phát hiện một số biến thể phần mềm độc hại BadIIS mới trong chiến dịch này. Các biến thể bao gồm những cụm có mức độ phát hiện bởi phần mềm chống virus rất thấp và những biến thể chứa thông báo gỡ lỗi bằng tiếng Trung giản thể. Thông tin chi tiết có thể được tham khảo tại báo cáo của Cisco Talos.

Thiết Lập Kiểm Soát Dài Hạn

Để đảm bảo kiểm soát lâu dài, UAT-8099 thực hiện nhiều bước.

Chúng kích hoạt RDP, cài đặt SoftEther VPN, sử dụng công cụ VPN phi tập trung EasyTier và thiết lập proxy ngược FRP. Các công cụ này giúp chúng duy trì kết nối ổn định và che giấu hoạt động.

Nhóm này thực hiện nâng cao đặc quyền bằng cách sử dụng các công cụ công khai. Sau đó, chúng sử dụng Procdump để đánh cắp thông tin xác thực. Dữ liệu bị đánh cắp được nén lại bằng WinRAR trước khi được trích xuất.

Để ngăn chặn các tác nhân khác truy cập, chúng cài đặt D_Safe_Manage, một công cụ bảo mật Windows IIS đã biết. Điều này cho thấy chiến lược kiểm soát độc quyền của nhóm.

Tự Động Hóa và Né Tránh Phát Hiện

Các kịch bản tự động hóa của nhóm UAT-8099 giúp hợp lý hóa các tác vụ. Điều này bao gồm cài đặt module, cấu hình RDP và tạo tác vụ theo lịch.

Các tác vụ này được thiết kế để tải Cobalt Strike beacon dưới vỏ bọc một nhà cung cấp mã WMI hợp pháp. Kỹ thuật này giúp tránh bị phát hiện bởi các giải pháp an ninh.

Các lớp phòng thủ và kịch bản tùy chỉnh giúp chúng né tránh phát hiện và duy trì quyền truy cập không bị gián đoạn vào các máy chủ bị xâm nhập. Đây là yếu tố then chốt giúp các cuộc tấn công mạng của nhóm này thành công.

Thao Túng SEO và Tác Động

Khi quyền kiểm soát được thiết lập, phần mềm độc hại BadIIS được sử dụng để thao túng các trình thu thập thông tin của công cụ tìm kiếm và người truy cập.

Trình xử lý OnBeginRequest kiểm tra các tiêu đề HTTP để xác định giá trị user-agent và referer. Dựa vào đó, malware quyết định hoạt động như một proxy hoặc chèn mã JavaScript độc hại.

Khi Googlebot được phát hiện, phần mềm độc hại sẽ phục vụ nội dung được chế tạo hoặc các backlink. Mục đích là để thổi phồng thứ hạng tìm kiếm của các trang web độc hại. Đây là một chiến thuật gian lận SEO tinh vi.

Đối với người dùng được chuyển hướng từ các công cụ tìm kiếm, malware sẽ chèn JavaScript. JavaScript này chuyển hướng trình duyệt đến các trang web cờ bạc hoặc quảng cáo.

Trình xử lý OnSendResponse tiếp tục nâng cao hành vi gian lận. Nó cung cấp nội dung tập trung vào SEO được thiết kế đặc biệt cho các trình thu thập thông tin. Sau đó, nó thực hiện các chuyển hướng mục tiêu cho người dùng gặp trang lỗi.

Mạng Lưới Thao Túng và Người Dùng Bị Ảnh Hưởng

Bằng cách xâm phạm nhiều máy chủ IIS trên toàn thế giới, UAT-8099 tạo ra một mạng lưới các trang web uy tín cao. Mạng lưới này cùng nhau tăng cường khả năng hiển thị của các đích đến độc hại của chúng.

Người dùng di động trên thiết bị Android và iOS đặc biệt bị ảnh hưởng. Các máy chủ bị xâm phạm phục vụ các trang tải xuống ứng dụng APK và iOS được tùy chỉnh. Điều này mở rộng phạm vi tác động của tấn công mạng này.

Khuyến Nghị Bảo Mật

Cisco Talos tiếp tục theo dõi chiến dịch tấn công mạng của UAT-8099.

Các tổ chức được khuyến nghị bảo vệ máy chủ IIS của mình bằng cách áp dụng các bản vá lỗi mới nhất. Việc vá các lỗ hổng IIS là cực kỳ quan trọng để ngăn chặn khai thác.

Ngoài ra, cần hạn chế các loại tệp được tải lên và thực thi các chính sách tài khoản mạnh mẽ. Triển khai các giải pháp giám sát mạnh mẽ cũng là một biện pháp thiết yếu.

Việc không khắc phục các lỗ hổng IIS này không chỉ gây nguy cơ gián đoạn hoạt động mà còn tạo điều kiện cho gian lận SEO quy mô lớn và đánh cắp thông tin xác thực.

Đảm bảo an toàn thông tin và an ninh mạng là ưu tiên hàng đầu để bảo vệ hệ thống khỏi các mối đe dọa như Web shell và các tấn công mạng phức tạp khác.