BadIIS 惡意軟體變種威脅升級：企業 IIS 伺服器成 SEO 詐騙跳板

資安研究機構 Cisco Talos 最新研究揭露，中國駭客集團 UAT-8099 正使用進化版 BadIIS 惡意軟體大規模入侵全球 Microsoft Internet Information Services (IIS) 伺服器，中國駭客集團 UAT-8099 正使用進化版 BadIIS 惡意軟體大規模入侵全球 Microsoft Internet Information Services (IIS) 伺服器，將受害伺服器當作搜尋引擎最佳化 (Search Engine Optimization, SEO) 詐騙活動的跳板。這個新變種透過調整程式碼結構與功能流程，成功規避防毒軟體偵測，對企業網路安全構成嚴重威脅。

根據 Cisco Talos 研究員 Joey Chen 的分析，UAT-8099 集團自 2025 年 4 月首次被發現以來，已在印度、泰國、越南、加拿大與巴西等地入侵大量 IIS 伺服器，受害者涵蓋大學、科技公司與電信業者。值得注意的是，該集團主要鎖定行動裝置使用者，包括 Android 與 iPhone 用戶。

BadIIS 惡意軟體的演進軌跡

BadIIS 並非新威脅，但最新變種展現顯著進化。這款惡意軟體已被多個中國駭客組織使用，包括 DragonRank 與 Operation Rewrite（又稱 CL-UNK-1037）。根據資安公司 ESET 上個月的報告，另一個名為 GhostRedirector 的威脅行為者使用類似的 IIS 模組 Gamshen，成功入侵至少 65 台 Windows 伺服器進行 SEO 詐騙。

新版 BadIIS 的關鍵改進在於反偵測能力。Cisco Talos 指出，該變種調整了程式碼結構與功能工作流程，特別設計來規避防毒軟體偵測。與 Gamshen 類似，這個版本只在偵測到來自 Google 的請求時才啟動 SEO 操縱功能，也就是當 User-Agent 標識為 Googlebot 時才會觸發惡意行為。

三種運作模式深度解析

BadIIS 惡意軟體具備三種不同的運作模式，每種模式都針對特定的詐騙目標設計。

Proxy 模式會擷取編碼的嵌入式指令與控制 (Command and Control, C2) 伺服器位址，並將其用作代理伺服器 (Proxy Server)，從次要 C2 伺服器擷取內容。這種架構有效隱藏真實攻擊來源，提供匿名性並分散流量。

Injector 模式展現更高的技術複雜度。該模式會攔截來自 Google 搜尋結果的瀏覽器請求，連接到 C2 伺服器擷取 JavaScript 程式碼，將下載的 JavaScript 嵌入到回應的 HTML 內容中，然後回傳修改後的回應，將受害者重新導向到選定的目標網站。這些目標通常是未經授權的廣告或非法賭博網站。

SEO fraud 模式入侵多台 IIS 伺服器以進行 SEO 詐騙，透過反向連結 (Backlink) 來人為提升網站排名。Talos 解釋，駭客利用反向連結這種傳統 SEO 技術來提升目標網站的能見度。由於 Google 搜尋引擎會透過反向連結來發現新網站並評估關鍵字相關性，當反向連結數量越多，Google 爬蟲造訪網站的機率就越高，進而加速排名提升並增加網頁曝光度。不過研究也指出，若只是盲目累積反向連結而忽略品質，反而可能招致 Google 的懲罰。

為何 IIS 伺服器成為主要目標

根據 Cisco Talos 的分析，UAT-8099 透過操縱搜尋排名，專注於目標地區中信譽良好、高價值的 IIS 伺服器。該集團使用 Web Shell、開源駭客工具、Cobalt Strike 和各種 BadIIS 惡意軟體來維持持續性並改變 SEO 排名。他們的自動化腳本經過客製化以規避防禦並隱藏活動。

IIS 伺服器成為攻擊目標的原因包括在 Windows Server 環境中的普遍使用，以及許多伺服器存在安全漏洞或檔案上傳功能的弱點設定。一旦發現易受攻擊的 IIS 伺服器，威脅行為者就會利用這個立足點上傳 Web Shell 進行偵察並收集基本系統資訊。

攻擊鏈的技術細節

UAT-8099 的攻擊鏈展現高度組織性。在初始入侵後，這個以財務為動機的駭客集團會啟用 Guest 帳戶來提升權限，一路提升到管理員權限，並使用它來啟用遠端桌面協定 (Remote Desktop Protocol, RDP)。

UAT-8099 還採取措施封堵初始存取路徑，以維持對受感染主機的唯一控制權，並防止其他威脅行為者入侵相同的伺服器。此外，Cobalt Strike 被部署為後期利用的首選後門。

為了實現持續性，RDP 與 VPN 工具結合使用，包括 SoftEther VPN、EasyTier 和 Fast Reverse Proxy (FRP)。UAT-8099 使用 RDP 存取 IIS 伺服器，並使用名為 Everything 的圖形使用者介面 (GUI) 工具在受感染主機內搜尋有價值的資料，然後將其打包以供轉售或進一步利用。目前尚不清楚該集團已經入侵了多少伺服器。

企業防護策略與實施建議

面對 BadIIS 威脅，企業需要建立多層次的防禦體系。首要任務是強化 IIS 伺服器的基礎安全設定，包括修補已知漏洞、正確配置檔案上傳功能，以及實施最小權限原則。

在偵測層面，企業應特別注意以下跡象：異常的檔案上傳活動、Web Shell 的存在、不尋常的 RDP 連線、Guest 帳戶的啟用，以及來自 Googlebot User-Agent 的可疑請求。由於 BadIIS 會針對來自搜尋引擎的流量觸發惡意行為，監控這類請求模式特別重要。

技術團隊應考慮部署以下防護措施：定期更新 IIS 和相關軟體到最新版本、限制檔案上傳功能並驗證上傳內容、監控並限制 RDP 存取、部署入侵偵測系統監控異常行為、實施網路分段以限制橫向移動，以及定期審查系統日誌尋找入侵跡象。

企業也應注意，攻擊者會封堵初始入侵路徑以維持獨占控制。這表示即使發現感染，系統可能已經被修改，需要徹底的清理和重建程序。建議企業建立完整的事件回應計畫，包括隔離受感染系統、保存證據、清除惡意軟體，以及修補所有已知漏洞。