Um grupo de cibercrime chinês, nomeado como UAT-8099, está ativamente envolvido em campanhas de fraude de SEO (Search Engine Optimization) e no roubo de credenciais, arquivos de configuração e certificados. A principal tática identificada em uso do grupo é o comprometimento de servidores Internet Information Services (IIS) vulneráveis, com o objetivo de instalar o malware BadIIS. As operações foram identificadas em países como Índia, Tailândia, Vietnã, Canadá e Brasil, afetando principalmente universidades, empresas de tecnologia e provedores de telecomunicações.
O UAT-8099 emprega uma cadeia de ataque sofisticada, em que primeiramente explora configurações inseguras de upload de arquivos em servidores IIS para enviar um web shell malicioso disfarçado de arquivo legítimo.
Após o acesso, o web shell é executado para coletar informações do sistema e da rede. Em sequência, um usuário guest é criado e, posteriormente, suas permissões são elevadas a administrator para assim habilitar o Remote Desktop Protocol. Para persistência, o grupo usa o RDP em combinação das ferramentas SoftEther VPN, EasyTier e Fast Reverse Proxy para garantir acesso permanente e contornar medidas de segurança.
Num segundo estágio de persistência, o grupo tem usado uma ferramenta compartilhada para obtenção de permissões a nível de sistema e, em seguida, realiza a instalação do malware BadIIS. O agente malicioso visa também a extração das credenciais da vítima com o Procdump, a obtenção de certificados válidos e arquivos de configuração.
Como último estágio do ataque, uma ferramenta de segurança e validação do Windows IIS é instalada pelo ator malicioso para impedir que outros invasores comprometam o servidor e adulterem sua configuração do BadIIS.
Entre as principais recomendações, estão:
- • realizar auditorias recorrentes das configurações de upload de arquivos em servidores IIS;
- • manter os servidores atualizados;
- • configuração de regras para detecção de criação de contas de usuário suspeitas, ativação de RDP via linha de comando e a presença dos artefatos e ferramentas mencionados;
- • monitoramento periódico de logs do IIS em busca de uploads de arquivos anômalos e acesso a web shells.