برمجية BadIIS تعود بحملة جديدة تستهدف خوادم IIS في آسيا مع تركيز على تايلاند وفيتنام، وفق متابعة تيكبامين. الهجمات تمتد من أواخر 2025 حتى مطلع 2026.
ما الذي تكشفه حملة برمجية BadIIS على خوادم IIS؟
رصد باحثون أمنيون حملة منسوبة لمجموعة UAT-8099 مرتبطة بالصين، نشطت بين أواخر 2025 وبداية 2026، واعتمدت على استغلال خوادم IIS غير المحصنة للوصول الأولي.
الحملة ظهرت بعد توثيق سابق لنشاط المجموعة في 2025، حيث استُخدمت البرمجيات الخبيثة للتلاعب بنتائج البحث وتحويل الزيارات إلى صفحات مسيطر عليها.
الحملة الحالية تستهدف أسواقًا آسيوية متعددة، مع تركيز لافت على تايلاند وفيتنام، بينما يبقى حجم الانتشار الدقيق غير معروف.
- الهند
- باكستان
- تايلاند
- فيتنام
- اليابان
وتشابهت مؤشرات الحملة مع موجة سابقة استهدفت أسواقًا متعددة، ما يشير إلى إعادة استخدام البنية التحتية وطرق التحكم عن بعد.
لماذا تركز الهجمات على تايلاند وفيتنام؟
يشير محللون إلى أن انتشار استضافات IIS الرخيصة وارتفاع حركة البحث المحلية يجعل هذه الأسواق هدفًا مثاليًا لعمليات احتيال SEO.
الهدف التجاري واضح: تضخيم الزيارات لصفحات مزيفة أو إعادة توجيه المستخدمين لمواقع تحقق أرباحًا إعلانية سريعة، ما يفسر التركيز الإقليمي.
كيف يتم التلاعب بنتائج البحث؟
تعتمد المجموعة على حقن صفحات محسّنة للكلمات المفتاحية وربطها تلقائيًا بنتائج البحث، مع الحفاظ على واجهة الموقع الأصلية لتجنب الشك.
- إعادة توجيه روابط البحث إلى صفحات مزيفة
- حقن محتوى مخفي بكلمات مفتاحية محلية
- إنشاء خرائط مواقع زائفة لرفع الترتيب
كيف يعمل UAT-8099 وما الأدوات المستخدمة؟
تستخدم المجموعة قواقع ويب Web Shells وأوامر PowerShell لتشغيل سكربتات تلقائية وتنزيل أداة GotoHTTP التي تمنح تحكمًا عن بعد بالخادم.
كما لوحظ اعتمادها على VPN من نوع SoftEther وأداة EasyTier، مع توظيف أدوات قانونية لتقليل احتمالات الكشف.
اللافت أن المهاجمين يفضلون أدوات الفرق الحمراء للحفاظ على التخفي، ما يجعل رصدهم أصعب لدى أنظمة الحماية التقليدية.
الأدوات التي رصدها الباحثون
- Web Shells للوصول الأولي وإدارة الملفات
- PowerShell لتنفيذ المهام وتنزيل الحمولة
- GotoHTTP كنفق تحكم عن بعد
- SoftEther VPN لإخفاء المصدر
- EasyTier لتجميع الخوادم المصابة
سلسلة الهجوم خطوة بخطوة
تبدأ العملية باستغلال ثغرة أو إعدادات رفع ملفات ضعيفة، ثم تُزرع الحمولة الخبيثة وتُنشأ قنوات وصول طويلة الأمد.
لمواجهة حظر حساب admin$، أضافت المجموعة فحصًا جديدًا ثم تُنشئ حسابًا باسم mysql$، مع إنشاء حسابات مخفية إضافية لضمان الاستمرارية.
- استغلال ثغرات IIS أو نماذج رفع غير مؤمنة
- تنزيل سكربتات خبيثة وتفعيل الاتصال البعيد
- تهيئة حسابات بديلة للحفاظ على الوصول
- زرع ملفات لإعادة توجيه حركة البحث
ما الخطوات الدفاعية لحماية خوادم IIS؟
يؤكد تيكبامين أن الإجراءات الوقائية البسيطة قادرة على تقليل المخاطر بشكل كبير، خصوصًا مع ارتفاع استهداف خوادم IIS في المنطقة.
الأولوية يجب أن تكون لتحديث الأنظمة وتقييد رفع الملفات ومراقبة الحسابات غير المعتادة، إضافة إلى مراجعة سجلات PowerShell بانتظام.
- تطبيق التحديثات الأمنية فور صدورها
- تعطيل أو تقييد ميزة رفع الملفات العامة
- مراجعة الحسابات الإدارية والبحث عن حسابات مخفية
- مراقبة الاتصالات غير المعتادة نحو خوادم خارجية
- عزل الخوادم المصابة وإعادة بناء الملفات المتأثرة
في النهاية، مراقبة مؤشرات الاختراق والاستجابة السريعة لأي نشاط مرتبط ببرمجية BadIIS تمنح فرق الأمن فرصة لاحتواء الضرر قبل اتساعه.
