文章总结： CiscoTalos揭露针对亚洲IIS服务器的UAT-8099攻击，利用WebShell部署区域定制化BadIIS恶意软件。攻击者通过隐藏账户维持持久化，利用流量过滤实施SEO欺诈，并使用反取证工具规避检测。建议加强漏洞修补与账户权限监控。 综合评分： 84 文章分类： 威胁情报,恶意软件,WEB安全

UAT-8099 利用 Web Shell、PowerShell 和区域定制的 BadIIS 攻击易受攻击的 IIS 服务器

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年2月1日 09:02 北京

针对亚洲各地互联网信息服务 (IIS) 服务器的新一轮定向攻击已经出现，威胁行为者部署了旨在破坏易受攻击系统的复杂恶意软件。

该行动从 2025 年末持续到 2026 年初，主要针对泰国和越南的受害者，标志着战略重心转向区域性行动。

攻击者利用未打补丁的 IIS 服务器注入恶意 Web Shell，执行 PowerShell 脚本，并部署 BadIIS 恶意软件，该恶意软件现在包含针对特定国家/地区定制的硬编码区域配置。

该威胁活动表明，其运作方式与之前记录在案的 WEBJACK 行动存在重叠，共享恶意软件特征、命令和控制基础设施以及目标受害者概况等共同特征。

攻击者利用 Web Shell 作为其初始立足点，从而可以在被入侵的服务器上远程执行命令。

成功渗透后，他们部署PowerShell 脚本来下载并执行 GotoHTTP 远程访问工具，从而获得对受感染系统的持久控制权。

这种多阶段感染链使威胁行为者能够保持长期访问权限，同时避免通过使用合法的管理工具进行检测。

Cisco Talos 分析师在观察到南亚和东南亚多个 IIS 部署中的可疑活动后，发现了这一攻击活动。

研究人员指出，BadIIS 变体现在将国家代码直接嵌入到其源代码中，为越南（用“VN”标签标识）和泰国（用“TH”标识）创建了专门的版本。

这些定制版本包括特定地区的文件扩展名、动态页面配置和本地化的 HTML 模板，有助于针对特定语言偏好进行搜索引擎优化欺诈。

与早期版本相比，该恶意软件的演变体现出一种更具针对性的攻击方式。每个 BadIIS 变种都会根据“Accept-Language”标头过滤网络流量，以验证访问者的所在地区，然后再投放恶意载荷。

当搜索引擎爬虫访问受感染的网站时，它们会被重定向到欺诈性赌博网站；而普通用户则会收到注入的 JavaScript 代码，该代码会在用户不知情的情况下将他们的浏览器重定向到恶意目标。

持久化机制和隐藏账户创建

在取得初始访问权限后，威胁行为者会创建隐藏的用户账户，以保持对受感染服务器的持续控制。

攻击者最初使用名为“admin$”的账户，但在安全产品开始检测到原始命名模式后，他们转而使用“mysql$”、“admin1$”、“admin2$”和“power$”等其他名称。

这些账户被赋予管理权限，并用于将 BadIIS 恶意软件的更新版本部署到特定的区域目录，例如针对越南的行动部署到“C:/Users/mssql$/Desktop/VN/”，针对泰国的攻击部署到“C:/Users/mssql$/Desktop/newth/”。

威胁行为者还会部署反取证工具，包括 Sharp4RemoveLog 来擦除Windows 事件日志，CnCrypt Protect 来隐藏恶意文件，以及 OpenArk64 来在内核级别终止安全进程，从而确保他们的行动在很长一段时间内不被检测到。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《UAT-8099 利用 Web Shell、PowerShell 和区域定制的 BadIIS 攻击易受攻击的 IIS 服务器》