Atores de Ameaça Chineses Explorando Servidores IIS para Manipular Rankings

BR Defense Center (By River de Morais e Silva)
ataque

Um novo relatório da Cisco Talos revela uma campanha de cibercrime em larga escala conduzida pelo grupo de hackers UAT-8099, que tem como alvo servidores vulneráveis do Internet Information Services (IIS) em países como Índia, Tailândia, Vietnã, Canadá e Brasil desde abril de 2025. O foco principal do grupo é manipular rankings de otimização para motores de busca (SEO), redirecionando tráfego valioso para anúncios não autorizados e sites de jogos de azar, enquanto exfiltra dados sensíveis de instituições proeminentes.

A campanha começa com varreduras automatizadas em servidores IIS desatualizados que permitem uploads de arquivos sem restrições. Após comprometer um servidor, os atacantes instalam um shell web ASP.NET de código aberto, elevando suas permissões para acesso remoto. O grupo utiliza variantes do malware BadIIS, que apresentam baixa detecção por antivírus e são desenvolvidas em chinês simplificado.

Uma vez estabelecido o acesso, o UAT-8099 manipula o tráfego HTTP para inflacionar artificialmente a reputação do servidor, servindo conteúdo otimizado para crawlers de busca, enquanto redireciona usuários humanos para sites maliciosos. A Cisco Talos recomenda que organizações que operam servidores IIS apliquem patches de segurança imediatamente e implementem políticas rigorosas de senhas e monitoramento contínuo dos logs do servidor.

Fonte: https://cyberpress.org/exploit-high-value-iis-servers/

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
03/10/2025 • Risco: ALTO
ATAQUE

Atores de Ameaça Chineses Explorando Servidores IIS para Manipular Rankings

RESUMO EXECUTIVO
O grupo UAT-8099 está explorando vulnerabilidades em servidores IIS para manipular rankings de busca e redirecionar tráfego para sites ilegais, o que pode resultar em sérios danos financeiros e de reputação para as organizações afetadas.

💼 IMPACTO DE NEGÓCIO

Financeiro
Potenciais perdas financeiras devido a fraudes e danos à reputação.
Operacional
Exfiltração de dados sensíveis e redirecionamento de tráfego para sites maliciosos.
Setores vulneráveis
['Setores financeiros, educacionais e de saúde que utilizam servidores IIS.']

📊 INDICADORES CHAVE

Campanha ativa desde abril de 2025. Indicador
Alvos em cinco países, incluindo Brasil. Contexto BR
Uso de variantes do malware BadIIS com baixa detecção. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar a configuração de servidores IIS e aplicar patches de segurança.
2 Restringir tipos de upload de arquivos e implementar políticas de senha fortes.
3 Monitorar logs de servidores para atividades suspeitas e uso de shells web.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a manipulação de SEO que pode afetar a reputação da empresa e a segurança de dados sensíveis.

⚖️ COMPLIANCE

Implicações na conformidade com a LGPD devido à manipulação de dados pessoais.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).