Grupo chinês UAT-8099 mira servidores IIS no Brasil e instala malware BadIIS

Um grupo de cibercrime identificado como UAT-8099, de origem chinesa, está conduzindo uma campanha global de fraude de SEO e roubo de credenciais que já alcança o Brasil. A operação compromete servidores Microsoft Internet Information Services (IIS) vulneráveis para instalar o malware BadIIS.

Quem é o alvo

Os ataques foram detectados na Índia, Tailândia, Vietnã, Canadá e Brasil, afetando principalmente universidades, empresas de tecnologia e provedores de telecomunicações.

Como o ataque acontece

A cadeia de comprometimento começa com a exploração de configurações inseguras de upload em servidores IIS. Um web shell malicioso, camuflado como arquivo legítimo, é enviado ao servidor.

Com o web shell em execução, os invasores coletam dados do sistema e da rede, criam uma conta guest e elevam seus privilégios a administrator. Em seguida, habilitam o Remote Desktop Protocol (RDP) para acesso remoto.

Para manter a persistência, o UAT-8099 combina o uso de RDP com as ferramentas SoftEther VPN, EasyTier e Fast Reverse Proxy, burlando controles de segurança.

Instalação do BadIIS

Em um segundo estágio, os atacantes aplicam uma ferramenta compartilhada para obter permissões de nível de sistema e instalar o BadIIS. O malware possibilita a extração de credenciais via Procdump, além da coleta de certificados válidos e arquivos de configuração.

Grupo chinês UAT-8099 mira servidores IIS no Brasil e instala malware BadIIS - Imagem do artigo

Imagem: Internet

Blindagem do servidor

No estágio final, uma ferramenta de segurança e validação do Windows IIS é instalada para evitar que outros agentes maliciosos alterem a configuração implantada ou assumam o controle do BadIIS.

Recomendações de mitigação

Especialistas sugerem:

  • auditorias frequentes nas configurações de upload em servidores IIS;
  • manutenção de todos os sistemas atualizados;
  • regras de detecção para criação de contas suspeitas, habilitação de RDP via linha de comando e presença de ferramentas usadas pelo UAT-8099;
  • monitoramento constante dos logs do IIS em busca de uploads anômalos e acessos a web shells.

As organizações nos setores mais visados devem reforçar a vigilância para identificar rapidamente sinais da campanha do UAT-8099.

Com informações de SegInfo