Código HTML do Conteúdo

Post: Microsoft IIS sob ataque de hackers criminosos chineses: como o UAT-8099 explora sites confiáveis

<div> <div data-element_type="widget" data-id="914a4f5" data-widget_type="shortcode.default"> <div> <div> <p><span><b><a href="https://www.redhotcyber.com/post/author/redazione/" target="_blank">Redazione RHC</a>:4 Outubro 2025 09:08</b></span></p> <p>Um grupo cibercriminoso chin&ecirc;s conhecido como UAT-8099 foi identificado pelo Cisco Talos como respons&aacute;vel por uma campanha de ataque em larga escala. Os ataques, que come&ccedil;aram em abril de 2025, visaram principalmente <strong>Microsoft Internet Information Services (IIS) vulner&aacute;vel</strong> servidores localizados em v&aacute;rios pa&iacute;ses, incluindo <em>&Iacute;ndia, Tail&acirc;ndia, Vietn&atilde;, Canad&aacute; e Brasil, que foram sistematicamente visados.</em></p> <p>As organiza&ccedil;&otilde;es que gerenciam servidores IIS s&atilde;o aconselhadas a aplicar imediatamente os patches de seguran&ccedil;a mais recentes e restringir os tipos de uploads de arquivos permitidos, pois os usu&aacute;rios de dispositivos m&oacute;veis Android e iOS s&atilde;o particularmente vulner&aacute;veis a p&aacute;ginas de download de APK personalizadas e sites de hospedagem de aplicativos iOS disfar&ccedil;ados de recursos oficiais.</p> <p>Seus focos de atividade il&iacute;cita <strong>sobre a altera&ccedil;&atilde;o dos &iacute;ndices de otimiza&ccedil;&atilde;o de mecanismos de pesquisa (SEO)</strong> Para <em>canalizar tr&aacute;fego de alto valor para publicidade n&atilde;o autorizada e sites de jogos de azar ilegais,</em> ao mesmo tempo em que extrai dados confidenciais de institui&ccedil;&otilde;es de prest&iacute;gio.</p> <p>A primeira fase da campanha UAT-8099 envolve <strong>executando verifica&ccedil;&otilde;es autom&aacute;ticas para detectar servidores IIS desatualizados</strong> que permitem <em>uploads de arquivos irrestritos.</em> Uma vez que um <strong>servidor mal configurado</strong> for detectado, os operadores implantam um <strong>shell da web ASP.NET de c&oacute;digo aberto</strong> , que executa comandos do sistema e coleta informa&ccedil;&otilde;es sobre o ambiente.</p> <p>A presen&ccedil;a desse ponto de suporte permite gerar uma conta de usu&aacute;rio tempor&aacute;ria, &agrave; qual s&atilde;o atribu&iacute;dos direitos de administrador, <strong>habilitando o acesso por meio do Remote Desktop Protocol (RDP).</strong> Em seguida, o grupo passa a <em>instalar web shells adicionais e usa ferramentas p&uacute;blicas de hacking combinadas com o Cobalt Strike para garantir a persist&ecirc;ncia do sistema.</em></p> <p>Durante esta fase, <a href="https://blog.talosintelligence.com/uat-8099-chinese-speaking-cybercrime-group-seo-fraud/" target="_blank">Pesquisadores do Talos</a> <strong>identificou v&aacute;rias novas vers&otilde;es da fam&iacute;lia de malware BadIIS.</strong> Essas mesmas variantes mostraram detec&ccedil;&atilde;o m&iacute;nima por programas antiv&iacute;rus e inclu&iacute;ram mensagens de depura&ccedil;&atilde;o em chin&ecirc;s simplificado, sugerindo desenvolvimento cont&iacute;nuo por invasores de l&iacute;ngua chinesa.</p> <p>Para consolidar o controle, o UAT-8099 ativa o RDP, instala <strong>SoftEther VPN e a ferramenta VPN EasyTier n&atilde;o centralizada</strong> e configura t&uacute;neis de proxy reverso FRP. Segue-se o despejo de credenciais usando Procdump e a compacta&ccedil;&atilde;o de dados com o WinRAR. D_Safe_Manage, uma ferramenta de seguran&ccedil;a do IIS usada para fins maliciosos, &eacute; instalada para monitorar invasores concorrentes.</p> <p>Quando o Googlebot &eacute; detectado, <em>o operador veicula conte&uacute;do e backlinks especialmente criados para rastreadores de mecanismos de pesquisa,</em> <strong>aumentando artificialmente a reputa&ccedil;&atilde;o do servidor e otimizando as classifica&ccedil;&otilde;es de sites maliciosos.</strong> Caso contr&aacute;rio, os usu&aacute;rios humanos que chegam por meio de mecanismos de pesquisa recebem um c&oacute;digo JavaScript que os redireciona automaticamente para sites de jogos de azar ou publicidade.</p> <p>A implementa&ccedil;&atilde;o de solu&ccedil;&otilde;es de seguran&ccedil;a avan&ccedil;adas, como pol&iacute;ticas de senha rigorosas e mecanismos de bloqueio de conta com limites bem definidos, combinados com o monitoramento constante dos logs do servidor web, &eacute; uma defesa crucial contra t&eacute;cnicas de ataque como o UAT-8099. A ado&ccedil;&atilde;o de ferramentas de detec&ccedil;&atilde;o de endpoint com recursos de an&aacute;lise comportamental tamb&eacute;m pode ser crucial na identifica&ccedil;&atilde;o do uso an&ocirc;malo de web shells e beacons espec&iacute;ficos como o Cobalt Strike.</p> <div> <div> <div> <div> <p><b><span>Reda&ccedil;&atilde;o</span></b><br /><span>A equipe editorial da Red Hot Cyber &eacute; composta por um grupo de indiv&iacute;duos e fontes an&ocirc;nimas que colaboram ativamente para fornecer informa&ccedil;&otilde;es e not&iacute;cias antecipadas sobre seguran&ccedil;a cibern&eacute;tica e computa&ccedil;&atilde;o em geral.</span></p> <p><a href="https://www.redhotcyber.com/post/author/redazione/" target="_blank">Lista degli articoli</a></p> </div> </div> </div> </div> </div> </div> </div></div>