一场针对亚洲地区互联网信息服务(IIS)服务器的高水准网络攻击已升级,攻击者推出了全新的高度定制化恶意软件变体。思科 Talos 安全团队确认,威胁组织 UAT-8099 自 2025 年末至 2026 年初发起新一轮攻击浪潮,攻击目标明确指向泰国、越南及周边地区的受害者。
与向互联网大规模散播通用恶意软件的广谱攻击不同,UAT-8099 为其核心攻击武器 “BadIIS” 量身定制了区域适配功能。这款恶意软件现已在代码中直接嵌入 “区域锁定” 机制 。
报告指出:“BadIIS 的新型变体将目标区域直接硬编码至恶意软件中,每个特定变体都配备了定制化功能。”
这种定制化设计能让攻击者更好地伪装成合法流量。该恶意软件包含 “专属文件扩展名、对应的动态页面扩展名、目录索引配置,以及从本地文件加载 HTML 模板的能力”。如此细致的设计表明,攻击者对其攻击目标的运行环境具备深入了解。
最令人意外的进展是,该组织的攻击范围已突破 Windows 系统限制。尽管 IIS 是 Windows 专属服务,但 Talos 研究人员发现,UAT-8099 已将其攻击工具适配至 Linux 环境。
报告称:“2025 年 10 月 1 日,一款 BadIIS 的 Linux 可执行与可链接格式(ELF)变体被上传至 VirusTotal 平台。”
这款 Linux 变体并非简单的移植版本,而是功能完备的攻击工具。它包含 “代理模式、注入模式和搜索引擎优化(SEO)欺诈模式”,完全复刻了此前 Windows 版本的全部功能。这种跨平台能力大幅扩大了该组织的潜在攻击面。
此次调查还证实了 UAT-8099 与另一个已知威胁集群的关联。Talos 分析师发现,该组织的攻击活动与 WEBJACK 攻击行动存在明显的特征重合。
研究人员表示:“分析确认,此次攻击活动与 WEBJACK 攻击行动存在显著的运营重叠,包括恶意软件哈希值、命令与控制(C2)服务器、受害者群体等关键入侵指标均高度吻合。”
一旦攻陷存在漏洞的服务器,该组织会结合定制化工具与商业工具维持控制权。报告详细披露,UAT-8099“通过 Webshell 和 PowerShell 执行脚本,并部署 GotoHTTP 工具,从而获得对易受攻击 IIS 服务器的远程访问权限”。
目前,该攻击的受害者已遍布 “印度、巴基斯坦、泰国、越南和日本”。安全机构敦促该地区的企业组织:审计自身 IIS 服务器配置,并密切监控思科 Talos 列出的 BadIIS 特定入侵指标。
发表评论
您还未登录,请先登录。
登录