392/68 (IT) ประจำวันพุธที่ 8 ตุลาคม 2568
นักวิจัยด้านความปลอดภัยไซเบอร์เปิดเผยกลุ่มอาชญากรไซเบอร์ชื่อ UAT-8099 ซึ่งมีพฤติกรรมโจมตี Microsoft Internet Information Services (IIS) เพื่อทำ SEO Fraud และขโมยข้อมูลสำคัญ เช่น รหัสผ่าน ไฟล์การตั้งค่า และข้อมูลใบรับรองดิจิทัล โดยพบการติดเชื้อในหลายประเทศรวมถึง อินเดีย ไทย เวียดนาม แคนาดา และบราซิลครอบคลุมองค์กรด้านการศึกษา บริษัทเทคโนโลยี และผู้ให้บริการโทรคมนาคม โดยมุ่งเป้าไปยังผู้ใช้สมาร์ตโฟนทั้งระบบ Android และ iPhone
กลุ่ม UAT-8099 จะสแกนหา IIS เซิร์ฟเวอร์ที่มีช่องโหว่หรือการตั้งค่าที่ไม่ปลอดภัย จากนั้นอัปโหลด web shell เพื่อสำรวจระบบและยกระดับสิทธิ์ผู้ใช้จนถึงระดับผู้ดูแลระบบ (Administrator) เพื่อเปิดใช้งาน Remote Desktop Protocol (RDP) เข้าควบคุมเครื่องที่ถูกบุกรุก พร้อมติดตั้งเครื่องมือ Cobalt Strike, SoftEther VPN, EasyTier และ Fast Reverse Proxy (FRP) เพื่อคงการเข้าถึงและป้องกันไม่ให้กลุ่มอื่นเข้ายึดระบบซ้ำ มัลแวร์ BadIIS จะถูกติดตั้งในขั้นตอนท้ายสุดเพื่อเปลี่ยนเส้นทางการค้นหาของ Google ไปยังเว็บไซต์โฆษณาผิดกฎหมายหรือการพนันออนไลน์
มัลแวร์ BadIIS ที่ใช้โดยกลุ่ม UAT-8099 เป็นเวอร์ชันที่ถูกดัดแปลงเพื่อหลบเลี่ยงการตรวจจับจากโปรแกรมป้องกันไวรัส โดยจะทำงานเมื่อมีคำขอจาก Googlebot หลอกระบบจัดอันดับผลการค้นหา (SEO) ผ่านเทคนิค “Backlinking” สร้างลิงก์ปลอมจำนวนมากเพื่อเพิ่มอันดับของเว็บไซต์เป้าหมายในผลการค้นหา Google และสร้างรายได้จากโฆษณาหรือเว็บพนัน ทั้งนี้ Talos เตือนว่าแม้เทคนิคนี้จะอิงหลักการ SEO ปกติ แต่การเชื่อมโยงลิงก์คุณภาพต่ำในปริมาณมากอาจทำให้เว็บไซต์ถูกลดอันดับหรือถูกแบนโดย Google ในระยะยาว
แหล่งข่าว https://thehackernews.com/2025/10/chinese-cybercrime-group-runs-global.html
