【BCCS駭情放送台】2025 十月號第1期 | 資安威脅事件情資分享
中國網路犯罪集團利用IIS伺服器全球發動SEO詐騙行動
【事件描述總結】:
2025年,中國語系網路犯罪集團UAT-8099被資訊安全研究人員揭露,發動橫跨全球的微軟IIS主機攻擊事件,主要目的是透過SEO詐騙與竊取高價值帳號、設定檔及數位憑證。此事件影響範圍涵蓋印度、泰國、越南、加拿大及巴西等地,不僅針對科技公司、學術機構及電信商,也波及各類網路服務。攻擊者高度自動化並持續滲透,定期更新工具組合以規避偵測。目前已知攻擊方式包括植入惡意程式BadIIS、劫持網路流量、搜刮機敏資料並販售、甚至將受害主機變成推播不良廣告和賭博內容的跳板,對全球網站營運環境及用戶信任帶來顯著衝擊。
【利用弱點分析與說明】 :
UAT-8099利用微軟IIS伺服器的已知安全漏洞、疏於管理的檔案上傳設定及弱密碼等問題,取得初步入侵點,再進行權限提升,啟用來賓帳號、取得管理員權限並打開RDP(遠端桌面協定)。攻擊鏈中會安裝自訂的惡意程式BadIIS,其具備代理、注入器及SEO詐騙三種模式,能針對Google搜尋引擎流量發動內容變更及網站重定向。攻擊者還利用Cobalt Strike後門,搭配SoftEther VPN、EasyTier、Fast Reverse Proxy等VPN工具,穩定維持滲透存活。UAT-8099高度自動化,針對重要伺服器設置障礙,阻擋其他駭客搶奪資源;並利用GUI工具Everything大規模搜尋跟打包主機中的敏感資訊,供後續販售與惡意利用。
▶ 攻擊影響與造成危害族群:
攻擊對象包括:政府單位、電信業者、科技與學術界,甚至連一般企業主機都可能淪為跳板。主機遭入侵後,敏感資料如帳號密碼、SSL憑證及網站設定檔恐遭竊取外洩,嚴重危害企業形象及用戶隱私。同時,被植入BadIIS模組的伺服器會成為SEO詐騙工具,劫持Google爬蟲流量,強推非法廣告、賭博或垃圾網站,大量建立垃圾「反向連結」拉高指定網站排名。受害者不僅自身系統安全備受威脅,還可能被Google列入黑名單,流量下降、用戶信賴崩盤,連帶傷及整體商業運作。同時這種攻擊手法也擾亂了網路產業正常競爭和搜尋排名機制,對全球數位生態造成長遠影響。
▶ 建議一般緩解措施:
定期更新修補IIS伺服器與相關程式,堵塞已知安全漏洞。
定期做資安檢測建立資安事件應變計畫,包括隔離受感染主機與清除惡意軟體流程。
企業應定期進行資安教育,提升人員威脅意識與應變能力。
▶ 建議產品緩解措施:
移除不必要的用戶帳號與權限,強制使用強密碼並啟用多因子認證(MFA)。如全景、偉康等FIDO驗證機制。
停用不需要的功能(如來賓帳號與遠端桌面),限制系統管理員存取權。並導入PAM等相關機制
部署防火牆與Web應用防火牆(WAF),控管與監控伺服器流量。如Imperva WAF、Array ASF、F5等。
持續監控伺服器日誌與異常行為,及早偵測惡意活動。如BCCS mSIEM、FortiSIEM、SPlunk、IBM QRadar等。
▶ 參考資料來源:
1.https://thehackernews.com/2025/10/chinese-cybercrime-group-runs-global.html
2.UAT-8099: Chinese-speaking cybercrime group targets high-value IIS for SEO fraud
3.華語網絡犯罪集團劫持 IIS 伺服器進行 SEO 詐騙 - 資訊安全雜誌
4.重寫行動:華語威脅行為者在大規模 SEO 中毒活動中部署
5.BadIISResearchers Warn of BadIIS Using SEO Poisoning to Redirect Users to Spam and Gambling Sites - Thailand Computer Emergency Response Team (ThaiCERT)
【事件描述總結】:
2025年,中國語系網路犯罪集團UAT-8099被資訊安全研究人員揭露,發動橫跨全球的微軟IIS主機攻擊事件,主要目的是透過SEO詐騙與竊取高價值帳號、設定檔及數位憑證。此事件影響範圍涵蓋印度、泰國、越南、加拿大及巴西等地,不僅針對科技公司、學術機構及電信商,也波及各類網路服務。攻擊者高度自動化並持續滲透,定期更新工具組合以規避偵測。目前已知攻擊方式包括植入惡意程式BadIIS、劫持網路流量、搜刮機敏資料並販售、甚至將受害主機變成推播不良廣告和賭博內容的跳板,對全球網站營運環境及用戶信任帶來顯著衝擊。
【利用弱點分析與說明】 :
UAT-8099利用微軟IIS伺服器的已知安全漏洞、疏於管理的檔案上傳設定及弱密碼等問題,取得初步入侵點,再進行權限提升,啟用來賓帳號、取得管理員權限並打開RDP(遠端桌面協定)。攻擊鏈中會安裝自訂的惡意程式BadIIS,其具備代理、注入器及SEO詐騙三種模式,能針對Google搜尋引擎流量發動內容變更及網站重定向。攻擊者還利用Cobalt Strike後門,搭配SoftEther VPN、EasyTier、Fast Reverse Proxy等VPN工具,穩定維持滲透存活。UAT-8099高度自動化,針對重要伺服器設置障礙,阻擋其他駭客搶奪資源;並利用GUI工具Everything大規模搜尋跟打包主機中的敏感資訊,供後續販售與惡意利用。
▶ 攻擊影響與造成危害族群:
攻擊對象包括:政府單位、電信業者、科技與學術界,甚至連一般企業主機都可能淪為跳板。主機遭入侵後,敏感資料如帳號密碼、SSL憑證及網站設定檔恐遭竊取外洩,嚴重危害企業形象及用戶隱私。同時,被植入BadIIS模組的伺服器會成為SEO詐騙工具,劫持Google爬蟲流量,強推非法廣告、賭博或垃圾網站,大量建立垃圾「反向連結」拉高指定網站排名。受害者不僅自身系統安全備受威脅,還可能被Google列入黑名單,流量下降、用戶信賴崩盤,連帶傷及整體商業運作。同時這種攻擊手法也擾亂了網路產業正常競爭和搜尋排名機制,對全球數位生態造成長遠影響。
▶ 建議一般緩解措施:
定期更新修補IIS伺服器與相關程式,堵塞已知安全漏洞。
定期做資安檢測建立資安事件應變計畫,包括隔離受感染主機與清除惡意軟體流程。
企業應定期進行資安教育,提升人員威脅意識與應變能力。
▶ 建議產品緩解措施:
移除不必要的用戶帳號與權限,強制使用強密碼並啟用多因子認證(MFA)。如全景、偉康等FIDO驗證機制。
停用不需要的功能(如來賓帳號與遠端桌面),限制系統管理員存取權。並導入PAM等相關機制
部署防火牆與Web應用防火牆(WAF),控管與監控伺服器流量。如Imperva WAF、Array ASF、F5等。
持續監控伺服器日誌與異常行為,及早偵測惡意活動。如BCCS mSIEM、FortiSIEM、SPlunk、IBM QRadar等。
▶ 參考資料來源:
1.https://thehackernews.com/2025/10/chinese-cybercrime-group-runs-global.html
2.UAT-8099: Chinese-speaking cybercrime group targets high-value IIS for SEO fraud
3.華語網絡犯罪集團劫持 IIS 伺服器進行 SEO 詐騙 - 資訊安全雜誌
4.重寫行動:華語威脅行為者在大規模 SEO 中毒活動中部署
5.BadIISResearchers Warn of BadIIS Using SEO Poisoning to Redirect Users to Spam and Gambling Sites - Thailand Computer Emergency Response Team (ThaiCERT)
瀏覽數:
