Se ha observado que un actor de amenaza persistente vanguardia (APT) de palabra china dirigida a entidades de infraestructura web en Taiwán utilizando versiones personalizadas de herramientas de código amplio con el objetivo de establecer un acercamiento a espléndido plazo en entornos de víctimas de suspensión valía.
La actividad ha sido atribuida por Cisco Talos a un clúster de actividad que rastrea como UAT-7237que se cree que es activo desde al menos 2022. Se evalúa el clan de piratería como un subgrupo de UAT-5918, que se sabe que está atacando entidades de infraestructura crítica en Taiwán hasta 2023.
“UAT-7237 realizó una nuevo intrusión dirigida a entidades de infraestructura web en el interior de Taiwán y se podio en gran medida en el uso de herramientas de código amplio, personalizadas hasta cierto punto, que probablemente evaden la detección y realice actividades maliciosas en el interior de la empresa comprometida”, dijo Talos.
Los ataques se caracterizan por el uso de un cargador de shellcode a medida denominado Soundbill que está diseñado para decodificar y divulgar cargas enseres secundarias, como Cobalt Strike.
A pesar de las superposiciones tácticas con UAT-5918, la artesanía de UAT-7237 exhibe desviaciones notables, incluida su dependencia de la huelga de cobalto como puerta trasera primaria, el despliegue selectivo de capas web posteriormente del compromiso original, y la incorporación de acercamiento directo a protocolo de escritorio (RDP) y clientes VPN para el acercamiento persistente.
Las cadenas de ataque comienzan con la explotación de fallas de seguridad conocidas contra servidores no parpadeados expuestos a Internet, seguido de realizar un agradecimiento original y huellas dactilares para determinar si el objetivo es de interés para los actores de amenaza para la explotación de seguimiento.
“Si adecuadamente UAT-5918 inmediatamente comienza a implementar proyectiles web para establecer canales de acercamiento traseros, UAT-7237 se desvía significativamente, utilizando el cliente VPN Softher (similar al Typhoon de Flax) para persistir su acercamiento y luego consentir a los sistemas a través de RDP”, los investigadores Asheer Malhotra, Brandon White y Vitor Ventura dijeron.
Una vez que este paso es exitoso, el atacante tournée a otros sistemas en toda la empresa para expandir su inteligencia y tolerar a mango nuevas actividades, incluido el despliegue de Soundbill, un cargador de shellcode basado en Vthello, para el emanación de Cobalt Strike.
Incluso se implementa en hosts comprometidos JuicyPotato, una aparejo de ascenso de privilegios ampliamente utilizada por varios grupos de piratería chinos y Mimikatz para extraer credenciales. En un construcción interesante, los ataques posteriores han explotado una lectura actualizada de Soundbill que incrusta una instancia de Mimikatz para conquistar los mismos objetivos.
Encima de usar FSCAN para identificar puertos abiertos contra subredes IP, se ha observado que UAT-7237 intenta hacer cambios en el registro de Windows para deshabilitar el control de la cuenta de legatario (UAC) y activar el almacenamiento de contraseñas de ClearText.
“UAT-7237 especificó el chino simplificado como el lengua de visualización preferido en su archivo de configuración del idioma del cliente VPN (Softher), lo que indica que los operadores eran competentes con el lengua”, señaló Talos.
La divulgación se produce cuando Intezer dijo que descubrió una nueva transformación de una puerta trasera conocida emplazamiento soba asociada con un actor de amenaza encuadrado por China llamado Gelsemium, aunque con poca confianza.
ESET documentó por primera vez en noviembre de 2024, detallando su capacidad para utilizar un módulo RootKit de regulador de kernel llamado USBDEV.KO para ocultar los procesos y ejecutar varios comandos enviados por un servidor controlado por el atacante.
“La funcionalidad central de la puerta trasera sigue siendo la misma, pero notamos algunos cambios en la implementación y la configuración de la puerta trasera”, dijo la investigadora Intezer Nicole Fishbein. “No está claro si el módulo del núcleo todavía se actualizó ya que no pudimos recopilarlo”.
