Sicherheitsforscher haben eine neue Welle von Intrusionen an Microsoft Internet Information Services (IIS) Servern entdeckt, die nach dem Cisco Talos Tracking zwischen Ende 2025 und Anfang 2026 aktiv war. Der Schauspieler nach diesen Operationen, gekennzeichnet als UAT-8099 und mit angeblichen Verbindungen zu China, hat seine Bemühungen in Asien konzentriert, mit einer bemerkenswerten Präsenz in Thailand und Vietnam, obwohl Beweispunkte auf Aktivität auch in Indien, Pakistan und Japan. Es ist eine Kampagne, die traditionelle Zugangstechniken mit legitimen Werkzeugen und "Team-Netzwerk" Dienstprogramme kombiniert, um Permanenz zu erweitern und Erkennung zu vermeiden. Für eine detaillierte technische Analyse finden Sie den Cisco Talos-Bericht auf Ihrem offiziellen Blog: blog.com.
Die Haupttaktik ist, IS zu kompromittieren, indem sie Sicherheitsausfälle oder schwache Konfigurationen in Mechanismen wie Datei-Uploading nutzen. Einmal im Inneren führen Angreifer Aufklärungsaufgaben durch, um das System zu ordnen und eine Reihe von Werkzeugen bereitzustellen, die es ihnen ermöglichen, den Server zu kontrollieren und seine Aktivität zu verbergen. Zu den beobachteten Diensten gehören Web-Shells, PowerShell-Befehle, VPNs wie SoftEther und Remote Access-Tools wie GotoHTTP, die durch ein von PowerShell heruntergeladenes Visual Basic-Skript nach der Installation der Web-Shell aktiviert werden. Die Verwendung von legitimen Komponenten und pentesting utilities macht es schwierig, zwischen administrativer und schädlicher Aktivität zu erkennen.
Um die Kontrolle zu stärken, werden versteckte Konten auf Servern erstellt, indem Namen verwendet werden, die versuchen, unbemerkt zu passieren - zum Beispiel "admin $" und, wenn dieser Name durch Sicherheitslösungen blockiert wird, eine andere "myshql $" - und mehrere zusätzliche Konten wurden für denselben Zweck erkannt. Der Schauspieler fällt auch Tools, die entwickelt wurden, um Sicherheitsdaten und Prozesse zu entfernen oder zu manipulieren, wie z.B. Dienstprogrammvarianten zum Löschen von Windows-Ereignissen, Verschlüsselung und Versteck von Dateien, und eine Open Source Anti-rootkit, die versucht, Schutzprodukte zu deaktivieren. Mit diesen Komponenten verfolgt UAT-8099 neben der Verwendung von Malware, die als BadIIS bekannt ist, ein klares Ziel: die Web-Infrastruktur für SEO-Betrugsoperationen zu nutzen und die Fernsteuerung zu verlängern.
BadIS ist nicht einzigartig oder statisch: Cisco Talos hat neue, speziell an bestimmte Regionen angepasste Varianten dokumentiert. Man richtet sich vor allem an Opfer in Vietnam, während ein anderer für Ziele in Thailand oder für Reaktionen auf Nutzer, deren Sprachpräferenz Thai ist, bestimmt ist. Dies zeigt eine zusätzliche Raffinesse in der Offensive, wo Malware unterscheidet zwischen Besuchern, die Suchmaschinen (Crawler) und echte Benutzer sind. Wenn es erkennt, dass die Anfrage von einer Suchmaschine kommt, leitet es den Crawler auf Seiten um, die dazu bestimmt sind, die Positionierung zu manipulieren; wenn die Anfrage zu einem Benutzer mit einer Präferenz von thailändischer Sprache gehört, injiziert es ein schädliches Skript, das in der Antwort Umleitungen verursacht. Zur Verwendung des Akzept-Language-Headers und warum es in diesem Zusammenhang darauf ankommt, kann die technische Dokumentation in MDN konsultiert werden: evooper.mozilla.org.
Die Familie BadIS umfasst verschiedene Betriebsarten, um die Wirksamkeit und Diskretion zu erhalten. Einige Varianten vermeiden Verarbeitungsrouten, die problematische Erweiterungen enthalten, um den Server nicht zu überlasten oder Fehler zu erzeugen, die Aufmerksamkeit rufen; andere enthalten Systeme zur Erzeugung dynamischer HTML-Inhalte aus Vorlagen, Füllmarkern mit zufälligen Daten oder URL-Derivaten; und es gibt Versionen, die nur dynamische Seiten angreifen, die für SEO relevant sind, wie Index. PHP oder Standard. aspx, da sie die Orte sind, an denen die Injektion von Links und Skripten am kostengünstigsten ist, um mit Suchergebnissen zu umgehen. Mit dieser Segmentierung maximieren Angreifer die Auswirkungen auf Suchmaschinen und minimieren den Footprint, der ihren Code auf dem Server-Login lässt.
Neben der Windows-Variante gibt es Anzeichen, dass UAT-8099 eine Edition für Linux entwickelt und abstimmt. Eine ELF Binär-Upload auf VirusTotal im Oktober 2025 enthielt Module, die Proxy- und Injektionsverhalten replizieren und in dieser Version den Fokus auf konkrete Suchmaschinen-Crawler beschränken: Google, Microsoft Bing und Yahoo. Die VirusTotal-Datei und andere Intelligenz-Tools helfen, die Aktivität zu Diagrammen und die Befehls- und Kontrollinfrastrukturen zu vergleichen; für diejenigen, die diese Tools erkunden möchten, bietet der VirusTotal-Blog nützliche Ressourcen: Blog.com.
Dieser Schauspieler funktioniert auch nicht vollständig isoliert: Es gibt Überschneidungen in Werkzeugen, Infrastruktur und Ziele mit einer anderen Kampagne namens WEBJACK, analysiert vor Monaten von der Firma WithSecure. Obwohl jede Forschung ihre eigenen Etiketten verwendet, schlagen Koinzidente gemeinsame Taktiken und Technologien vor oder arbeiten in separaten Kampagnen wieder. Details zu diesem Vergleich finden Sie auf den Forschungskanälen und Sicherheitsblogs, einschließlich der WithSecure Analyse Seite: mit der.
Für Administratoren und Website-Manager ist die Lektion klar: Diese Angriffe zeigen, dass moderne Bedrohungen die technische Ausbeutung mit Engineering mischen, um den Zugang zu monetarisieren. Effiziente Vorbeugung erfordert nicht nur die Anwendung von Patches und das Aushärten von IIS, sondern die Überwachung von Anomalien in Benutzerkonten, ausgehenden Verkehr und das Vorhandensein von ungewöhnlichen Dateien und Prozessen. Microsoft hält Dokumentations- und Sicherheitsführer auf IS, die als Ausgangspunkt für die Minderung von Betriebsvektoren dienen: Lernen.microsoft.com. Darüber hinaus können Maßnahmen wie die Einschränkung der Datei-Upload-Funktionalität, die Validierung und die Sanitierung von Einträgen, die Einschränkung von Privilegien, die Segmentierung des Netzwerks und die Bereitstellung von PowerShell-Webhüllen und die Telemetrieerkennung die Angriffsfläche reduzieren.
Auf breiter Ebene spiegelt die Kampagne einen Trend wider, den Analysten beobachtet hatten: das Recycling von öffentlichen Werkzeugen und legitime Gewinne für kriminelle Zwecke, wodurch es schwieriger ist, zwischen Verwaltung und Missbrauch zu unterscheiden. Es hebt auch die Kriminalitätswirtschaft im Netzwerk hervor: Die Manipulation von Suchergebnissen und die Umleitung des Verkehrs kann eine nachhaltige Einkommensquelle für Angreifer ohne direkte Erpressung werden. Das Verständnis, dass Wirtschaft ist der Schlüssel, um Verteidigungen zu entwerfen, die nicht nur technische Schwachstellen schließen, sondern es schwierig machen, den Zugang zu monetarisieren, wenn Einbruch bereits stattgefunden hat.
Diejenigen, die Web-Plattformen verwalten, sollten über die Veröffentlichungen von Notfall-Responsorteams und Geheimdienstanbietern informiert werden. Die technische Zusammenfassung von Cisco Talos auf UAT-8099 ist ein guter Ausgangspunkt, um die Entwicklung der Kampagne und die Indikatoren zu berücksichtigen: Talos' Bericht lesen. Die Aufrechterhaltung von Wartungspraktiken, die häufige Überprüfung des Logins und die Nutzung aktueller Vorfälle sind Maßnahmen, die einen Unterschied zu dieser Art von Bedrohung machen können.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...