Веб-серверы Тайваня взломаны UAT-7237 с использованием специализированных хакерских инструментов с открытым исходным кодом
Было замечено, что говорящий на китайском языке злоумышленник, создающий продвинутые постоянные угрозы (APT), атакует объекты веб-инфраструктуры на Тайване, используя адаптированные версии инструментов с открытым исходным кодом с целью установления долгосрочного доступа в средах, представляющих особую ценность для жертвы.
Компания Cisco Talos отнесла эту активность к кластеру активности, который она отслеживает как UAT-7237 и который, как считается, действует по крайней мере с 2022 года. Предполагается, что хакерская группа является подгруппой UAT-5918 , которая, как известно, атакует объекты критической инфраструктуры на Тайване еще с 2023 года.
«UAT-7237 недавно осуществил вторжение, нацеленное на объекты веб-инфраструктуры на Тайване, и в значительной степени полагался на использование инструментов с открытым исходным кодом, доработанных в определенной степени, что, вероятно, позволит избежать обнаружения и осуществлять вредоносную деятельность на скомпрометированном предприятии», — заявили в Talos .
Атаки характеризуются использованием специального загрузчика шелл-кода, получившего название SoundBill, который предназначен для декодирования и запуска вторичных полезных нагрузок, таких как Cobalt Strike.
Несмотря на тактическое совпадение с UAT-5918, в тактике UAT-7237 наблюдаются заметные отклонения, включая использование Cobalt Strike в качестве основного бэкдора, выборочное развертывание веб-оболочек после первоначального взлома и включение прямого доступа по протоколу удаленного рабочего стола (RDP) и клиентов SoftEther VPN для постоянного доступа.
Цепочки атак начинаются с эксплуатации известных уязвимостей безопасности на неисправленных серверах, доступных из Интернета, после чего проводится первоначальная разведка и идентификация с целью определения, представляет ли цель интерес для злоумышленников для последующей эксплуатации.
«В то время как UAT-5918 немедленно начинает развертывать веб-оболочки для создания скрытых каналов доступа, UAT-7237 существенно отклоняется, используя клиент SoftEther VPN (аналогичный Flax Typhoon) для сохранения доступа, а затем подключаясь к системам через RDP», — говорят исследователи Эшир Малхотра, Брэндон Уайт и Витор Вентура.
После успешного выполнения этого шага злоумышленник переходит к другим системам на предприятии, чтобы расширить свое влияние и выполнить дополнительные действия, включая развертывание SoundBill, загрузчика шелл-кода на основе VTHello , для запуска Cobalt Strike.
На скомпрометированных хостах также был развёрнут JuicyPotato, инструмент повышения привилегий, широко используемый различными китайскими хакерскими группами, и Mimikatz для извлечения учётных данных. Примечательно, что последующие атаки использовали обновлённую версию SoundBill, в которую был вмонтирован экземпляр Mimikatz для достижения тех же целей.
Помимо использования FScan для определения открытых портов в IP-подсетях, UAT-7237 был замечен в попытках внести изменения в реестр Windows, чтобы отключить контроль учетных записей пользователей (UAC) и включить хранение паролей в открытом виде.
«UAT-7237 указал упрощенный китайский в качестве предпочтительного языка отображения в файле конфигурации языка своего VPN-клиента [SoftEther], что указывает на то, что операторы владеют этим языком», — отметили в Talos.
Раскрытие информации произошло после того, как компания Intezer заявила об обнаружении нового варианта известного бэкдора под названием FireWood, связанного с связанной с Китаем группой угроз под названием Gelsemium, хотя достоверность этой информации невысока.
FireWood был впервые задокументирован компанией ESET в ноябре 2024 года. В нем подробно описывалась его способность использовать модуль руткита драйвера ядра под названием usbdev.ko для скрытия процессов и запуска различных команд, отправляемых сервером, контролируемым злоумышленником.
«Основной функционал бэкдора остался прежним, но мы заметили некоторые изменения в реализации и конфигурации бэкдора», — сообщила исследователь Intezer Николь Фишбейн . «Неясно, был ли также обновлён модуль ядра, поскольку нам не удалось его получить».
About The Author
