🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pesquisadores de segurança cibernética descobriram uma nova campanha atribuída a um ator de ameaça ligado à China, conhecido como UAT-8099, que ocorreu entre o final de 2025 e o início de 2026.
A atividade, descoberta pelo Cisco Talos, teve como alvo servidores vulneráveis de Serviços de Informações da Internet (IIS) localizados em toda a Ásia, mas com foco específico em alvos na Tailândia e no Vietnã. A escala da campanha é atualmente desconhecida.
“O UAT-8099 usa web shells e PowerShell para executar scripts e implantar a ferramenta GotoHTTP, concedendo ao ator da ameaça acesso remoto a servidores IIS vulneráveis”, disse o pesquisador de segurança Joey Chen em um detalhamento da campanha na quinta-feira.
O UAT-8099 foi documentado pela primeira vez pela empresa de segurança cibernética em outubro de 2025, detalhando a exploração de servidores IIS pelo agente da ameaça na Índia, Tailândia, Vietnã, Canadá e Brasil para facilitar fraudes de otimização de mecanismos de pesquisa (SEO). Os ataques envolvem a infecção dos servidores com um malware conhecido conhecido como BadIIS.
O grupo de hackers é considerado de origem chinesa, com os ataques datando de abril de 2025. O cluster de ameaças também compartilha semelhanças com outra campanha BadIIS chamada WEBJACK pelo fornecedor finlandês de segurança cibernética WithSecure em novembro de 2025, com base em sobreposições de ferramentas, infraestrutura de comando e controle (C2) e pegada de vitimologia.
A última campanha concentra-se em comprometer servidores IIS localizados na Índia, Paquistão, Tailândia, Vietnã e Japão, embora a Cisco tenha dito ter observado uma “concentração distinta de ataques” na Tailândia e no Vietnã.
“Embora o ator da ameaça continue a contar com web shells, SoftEther VPN e EasyTier para controlar servidores IIS comprometidos, sua estratégia operacional evoluiu significativamente”, explicou Talos. "Primeiro, esta última campanha marca uma mudança em suas táticas de SEO de chapéu preto em direção a um foco regional mais específico. Em segundo lugar, o ator aproveita cada vez mais os utilitários da equipe vermelha e ferramentas legítimas para evitar a detecção e manter a persistência a longo prazo."
A cadeia de ataque começa com o UAT-8099 obtendo acesso inicial a um servidor IIS, normalmente explorando uma vulnerabilidade de segurança ou configurações fracas no recurso de upload de arquivos do servidor web. Isto é seguido pelo ator da ameaça iniciando uma série de etapas para implantar cargas maliciosas -
Execute comandos de descoberta e reconhecimento para coletar informações do sistema
Implante ferramentas VPN e estabeleça persistência criando uma conta de usuário oculta chamada “admin$”
Solte novas ferramentas como Sharp4RemoveLog (remover logs de eventos do Windows), CnCrypt Protect (ocultar arquivos maliciosos), OpenArk64 (anti-rootkit de código aberto para encerrar processos de produtos de segurança) e GotoHTTP (controle remoto do servidor)
Implante o malware BadIIS usando a conta recém-criada
Com os produtos de segurança tomando medidas para sinalizar a conta “admin$”, o agente da ameaça adicionou uma nova verificação para verificar se o nome está bloqueado e, em caso afirmativo, cria uma nova conta de usuário chamada “mysql$” para manter o acesso e executar o serviço de fraude SEO BadIIS sem qualquer interrupção. Além disso, foi observado que o UAT-8099 cria mais contas ocultas para garantir a persistência.
Outra mudança notável gira em torno do uso do GotoHTTP para controlar remotamente o servidor infectado. A ferramenta é iniciada por meio de um script Visual Basic baixado por um comando do PowerShell executado após a implantação de um web shell.
O malware BadIIS implantado nos ataques é composto por duas novas variantes personalizadas para atingir regiões específicas: enquanto o BadIIS IISHijack destaca as vítimas no Vietnã, o BadIIS asdSearchEngine é direcionado principalmente a alvos na Tailândia ou a usuários com preferências de idioma tailandês.
O objetivo final do malware ainda permanece praticamente o mesmo. Ele verifica as solicitações recebidas nos servidores IIS para verificar se o visitante é um rastreador de mecanismo de pesquisa. Se for esse o caso, o rastreador é redirecionado para um site fraudulento de SEO. No entanto, se a solicitação for de um usuário comum e o cabeçalho Accept-Language na solicitação indicar tailandês, ele injeta HTML contendo um redirecionamento JavaScript malicioso na resposta.
Cisco Talos disse que identificou três variantes distintas dentro do cluster BadIIS asdSearchEngine -
Variante exclusiva de múltiplas extensões, que verifica o caminho do arquivo na solicitação e o ignora se contiver uma extensão em sua lista de exclusão que possa consumir muitos recursos ou prejudicar a aparência do site
Variante de carregamento de modelos HTML, que contém um sistema de geração de modelos HTML para criar conteúdo da web dinamicamente, carregando modelos do disco ou usando substitutos incorporados e substituindo espaços reservados por dados aleatórios, datas e conteúdo derivado de URL
Variante de extensão de página dinâmica/índice de diretório, que verifica se um caminho solicitado corresponde a uma extensão de página dinâmica ou a um índice de diretório
“Avaliamos que o ator da ameaça, UAT-8099, implementou esse recurso para priorizar o SEO
A atividade, descoberta pelo Cisco Talos, teve como alvo servidores vulneráveis de Serviços de Informações da Internet (IIS) localizados em toda a Ásia, mas com foco específico em alvos na Tailândia e no Vietnã. A escala da campanha é atualmente desconhecida.
“O UAT-8099 usa web shells e PowerShell para executar scripts e implantar a ferramenta GotoHTTP, concedendo ao ator da ameaça acesso remoto a servidores IIS vulneráveis”, disse o pesquisador de segurança Joey Chen em um detalhamento da campanha na quinta-feira.
O UAT-8099 foi documentado pela primeira vez pela empresa de segurança cibernética em outubro de 2025, detalhando a exploração de servidores IIS pelo agente da ameaça na Índia, Tailândia, Vietnã, Canadá e Brasil para facilitar fraudes de otimização de mecanismos de pesquisa (SEO). Os ataques envolvem a infecção dos servidores com um malware conhecido conhecido como BadIIS.
O grupo de hackers é considerado de origem chinesa, com os ataques datando de abril de 2025. O cluster de ameaças também compartilha semelhanças com outra campanha BadIIS chamada WEBJACK pelo fornecedor finlandês de segurança cibernética WithSecure em novembro de 2025, com base em sobreposições de ferramentas, infraestrutura de comando e controle (C2) e pegada de vitimologia.
A última campanha concentra-se em comprometer servidores IIS localizados na Índia, Paquistão, Tailândia, Vietnã e Japão, embora a Cisco tenha dito ter observado uma “concentração distinta de ataques” na Tailândia e no Vietnã.
“Embora o ator da ameaça continue a contar com web shells, SoftEther VPN e EasyTier para controlar servidores IIS comprometidos, sua estratégia operacional evoluiu significativamente”, explicou Talos. "Primeiro, esta última campanha marca uma mudança em suas táticas de SEO de chapéu preto em direção a um foco regional mais específico. Em segundo lugar, o ator aproveita cada vez mais os utilitários da equipe vermelha e ferramentas legítimas para evitar a detecção e manter a persistência a longo prazo."
A cadeia de ataque começa com o UAT-8099 obtendo acesso inicial a um servidor IIS, normalmente explorando uma vulnerabilidade de segurança ou configurações fracas no recurso de upload de arquivos do servidor web. Isto é seguido pelo ator da ameaça iniciando uma série de etapas para implantar cargas maliciosas -
Execute comandos de descoberta e reconhecimento para coletar informações do sistema
Implante ferramentas VPN e estabeleça persistência criando uma conta de usuário oculta chamada “admin$”
Solte novas ferramentas como Sharp4RemoveLog (remover logs de eventos do Windows), CnCrypt Protect (ocultar arquivos maliciosos), OpenArk64 (anti-rootkit de código aberto para encerrar processos de produtos de segurança) e GotoHTTP (controle remoto do servidor)
Implante o malware BadIIS usando a conta recém-criada
Com os produtos de segurança tomando medidas para sinalizar a conta “admin$”, o agente da ameaça adicionou uma nova verificação para verificar se o nome está bloqueado e, em caso afirmativo, cria uma nova conta de usuário chamada “mysql$” para manter o acesso e executar o serviço de fraude SEO BadIIS sem qualquer interrupção. Além disso, foi observado que o UAT-8099 cria mais contas ocultas para garantir a persistência.
Outra mudança notável gira em torno do uso do GotoHTTP para controlar remotamente o servidor infectado. A ferramenta é iniciada por meio de um script Visual Basic baixado por um comando do PowerShell executado após a implantação de um web shell.
O malware BadIIS implantado nos ataques é composto por duas novas variantes personalizadas para atingir regiões específicas: enquanto o BadIIS IISHijack destaca as vítimas no Vietnã, o BadIIS asdSearchEngine é direcionado principalmente a alvos na Tailândia ou a usuários com preferências de idioma tailandês.
O objetivo final do malware ainda permanece praticamente o mesmo. Ele verifica as solicitações recebidas nos servidores IIS para verificar se o visitante é um rastreador de mecanismo de pesquisa. Se for esse o caso, o rastreador é redirecionado para um site fraudulento de SEO. No entanto, se a solicitação for de um usuário comum e o cabeçalho Accept-Language na solicitação indicar tailandês, ele injeta HTML contendo um redirecionamento JavaScript malicioso na resposta.
Cisco Talos disse que identificou três variantes distintas dentro do cluster BadIIS asdSearchEngine -
Variante exclusiva de múltiplas extensões, que verifica o caminho do arquivo na solicitação e o ignora se contiver uma extensão em sua lista de exclusão que possa consumir muitos recursos ou prejudicar a aparência do site
Variante de carregamento de modelos HTML, que contém um sistema de geração de modelos HTML para criar conteúdo da web dinamicamente, carregando modelos do disco ou usando substitutos incorporados e substituindo espaços reservados por dados aleatórios, datas e conteúdo derivado de URL
Variante de extensão de página dinâmica/índice de diretório, que verifica se um caminho solicitado corresponde a uma extensão de página dinâmica ou a um índice de diretório
“Avaliamos que o ator da ameaça, UAT-8099, implementou esse recurso para priorizar o SEO
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #uat8099 #vinculado #à #china #tem #como #alvo #servidores #iis #na #ásia #com #malware #badiis #seo
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário