UAT-8099: Çin’e Bağlı Siber Suç Grubu ve SEO Dolandırıcılığı
Siber güvenlik araştırmacıları, UAT-8099 kod adıyla bilinen, Çince konuşan bir siber suç grubunu ortaya çıkardı. Bu grup, arama motoru optimizasyonu (SEO) dolandırıcılığı ve yüksek değerli kimlik bilgileri, yapılandırma dosyaları ve sertifika verilerinin çalınmasıyla ilişkilendirilmektedir. UAT-8099’un faaliyetleri, özellikle Microsoft Internet Information Services (IIS) sunucularını hedef almaktadır ve en çok Hindistan, Tayland, Vietnam, Kanada ve Brezilya gibi ülkelerdeki üniversiteler, teknoloji firmaları ve telekom sağlayıcıları gibi kuruluşları etkilemektedir.
Grubun Faaliyetleri ve Hedefleri
UAT-8099’un ilk keşfi Nisan 2025’tir. Grubun hedef kitlesi, mobil kullanıcılar, yani hem Android hem de Apple iPhone cihazlarıdır. Araştırmalar, UAT-8099’un finansal kazanç sağlamak amacıyla SEO dolandırıcılığına başvuran en son Çin bağlantılı aktör olduğunu göstermektedir. Geçtiğimiz ay, ESET, GhostRedirector adı verilen başka bir tehdit aktörünün, Brezilya, Tayland ve Vietnam’da en az 65 Windows sunucusunu, SEO dolandırıcılığını kolaylaştırmak için kötü amaçlı bir IIS modülü olan Gamshen ile ele geçirdiğini açıklamıştır.
Saldırı Taktikleri ve Yöntemleri
UAT-8099, hedef bölgelerde güvenilir ve yüksek değerli IIS sunucularına odaklanarak arama sonuçlarını manipüle etmektedir. Cisco Talos araştırmacısı Joey Chen, “Grup, web shell’ler, açık kaynaklı hacking araçları, Cobalt Strike ve çeşitli BadIIS kötü amaçlı yazılımlar kullanarak SEO sıralamalarını değiştiriyor,” demektedir. Grubun otomasyon scriptleri, savunmaları aşacak şekilde özelleştirilmiştir.
Uygun bir IIS sunucusu bulunduğunda—ya güvenlik açığı veya web sunucusunun dosya yükleme özelliklerindeki zayıf ayarlarla—tehdit aktörü, keşif yapmak ve temel sistem bilgilerini toplamak amacıyla web shell’ler yükler. Finansal motivasyona sahip bu hacking grubu, ardından konuk hesabını yetkilendirmek için kullanarak yönetici seviyesine kadar çıkar ve Uzaktan Masaüstü Protokolü (RDP)‘yi etkinleştirir.
Kontrol Sağlama ve Kalıcılık
UAT-8099, başlatılan erişim yolunu kapatarak, ele geçirilen sunucuların tek kontrolünü koruma adımları da atmaktadır. Ayrıca, post-exploitation için tercih edilen arka kapı olarak Cobalt Strike kullanılmaktadır. Kalıcılık sağlamak amacıyla, RDP, SoftEther VPN, EasyTier ve Fast Reverse Proxy (FRP) gibi VPN araçları ile birleştirilmektedir.
Saldırı zinciri, BadIIS kötü amaçlı yazılımının kurulumuyla sona ermektedir. Bu yazılım, DragonRank ve Operation Rewrite (diğer adıyla CL-UNK-1037) gibi birden fazla Çince konuşan tehdit grubu tarafından da kullanılmaktadır.
Veri Erişimi ve Çalma İhtiyaçları
UAT-8099, IIS sunucularına erişim sağladıktan sonra, ele geçirilen host bilgisinde değerli verileri aramak için bir grafik kullanıcı arayüzü (GUI) aracı olan Everything‘i kullanmaktadır. Bu veriler, ya tekrar satılmak üzere ya da daha fazla sömürü için paketlenmektedir. Hangi sunucuların ne kadarının ele geçirildiği şu an için net olmamakla birlikte, BadIIS adlı kötü amaçlı yazılımın, antivirüs yazılımları tarafından tespit edilmemek için kod yapısını ve işlev akışını değiştirdiği bilinmektedir.
BadIIS Kötü Amaçlı Yazılımının Modları
BadIIS, üç farklı modda çalışabilmektedir:
Proxy Modu: Kodlanmış komut ve kontrol (C2) sunucu adresini çıkararak, ikinci bir C2 sunucusundan içerik almak için proxy olarak kullanılır.
Injector Modu: Google arama sonuçlarından gelen tarayıcı isteklerini keserek C2 sunucusuyla bağlantı kurar, JavaScript kodunu indirip HTML içeriğine gömerek değiştirilmiş yanıtı kurbanın tarayıcısına geri gönderir. Bu yanıt, kullanıcıyı istenen hedefe (yetkisiz reklamlar veya yasadışı kumar siteleri) yönlendirir.
SEO Dolandırıcılığı Modu: Birden çok IIS sunucusunu tehlikeye atarak SEO dolandırıcılığı gerçekleştirir, böylece web sitesi sıralamalarını yapay olarak artıran bağlantılar sunar.
Sonuç Olarak
UAT-8099, günümüzde giderek artan siber tehditler arasında önemli bir yer tutmaktadır. Özellikle SEO dolandırıcılığı ve hassas verilerin çalınması konusundaki etkinlikleri, hem bireyler hem de kurumsal yapılar için bir tehlike oluşturmaktadır. Siber güvenlik uzmanları, bu tür saldırılara karşı duyarlılığı artırmak ve önleyici tedbirler almak zorundadır.
