Een Chinees sprekende geavanceerde persistent Threat (APT) -acteur is waargenomen gericht op webinfrastructuurentiteiten in Taiwan met behulp van aangepaste versies van open-sourced tools met als doel de toegang op lange termijn binnen hoogwaardige slachtofferomgevingen te vestigen.
De activiteit is door Cisco Talos toegeschreven aan een activiteitencluster dat het volgt als UAT-7237waarvan wordt aangenomen dat het sinds ten minste 2022 actief is.
“UAT-7237 heeft een recente indringing van webinfrastructuurentiteiten binnen Taiwan uitgevoerd en is sterk afhankelijk van het gebruik van open-sourced tooling, tot op zekere hoogte aangepast, waarschijnlijk detectie ontwijken en kwaadaardige activiteiten uitvoeren binnen de gecompromitteerde onderneming,” zei Talos.
De aanvallen worden gekenmerkt door het gebruik van een op maat gemaakte shellcode -lader genaamd Soundbill die is ontworpen om secundaire ladingen te decoderen en te lanceren, zoals kobaltstaking.
Ondanks de tactische overlappingen met UAT-5918, vertoont het TradeCraft van UAT-7237 opmerkelijke afwijkingen, inclusief de afhankelijkheid van kobaltstaking als primaire achterdoor, de selectieve implementatie van webschalen na het eerste compromis en de opname van direct externe bureaubladprotocol (RDP) toegang en zachte VPN-cliënten voor persistente toegang.
De aanvalsketens beginnen met de exploitatie van bekende beveiligingsfouten tegen niet-gepatchte servers die worden blootgesteld aan internet, gevolgd door het uitvoeren van initiële verkenning en vingerafdrukken om te bepalen of het doelwit interessant is voor de dreigingsactoren voor follow-on exploitatie.
“Terwijl UAT-5918 onmiddellijk begint met het inzetten van webschalen om toegangskanalen met achterdeur op te zetten, wijkt UAT-7237 aanzienlijk af, met behulp van de softether VPN-client (vergelijkbaar met Flax Typhoon) om hun toegang te behouden en later toegang te krijgen tot de systemen via RDP,” Ashier Malhotra, Brandon White en Vitor Ventura.
Zodra deze stap succesvol is, draait de aanvaller naar andere systemen in de onderneming om hun bereik uit te breiden en verdere activiteiten uit te voeren, waaronder de inzet van Soundbill, een ShellCode -lader op basis van Vthello, voor het lanceren van Cobalt Strike.
Ook geïmplementeerd op gecompromitteerde gastheren is Juicypotato, een privilege -escalatietool dat veel wordt gebruikt door verschillende Chinese hackgroepen en Mimikatz om referenties te extraheren. In een interessante wending hebben daaropvolgende aanvallen een bijgewerkte versie van Soundbill gebruikt die er een Mimikatz -exemplaar in insluit om dezelfde doelen te bereiken.
Naast het gebruik van FSCAN om open poorten te identificeren tegen IP-subnetten, is UAT-7237 waargenomen om Windows-registerwijzigingen aan te brengen om User Account Control (UAC) uit te schakelen en de opslag van ClearText-wachtwoorden in te schakelen.
“UAT-7237 gespecificeerde vereenvoudigde Chinezen als de voorkeurstaal in hun (softether) VPN-client’s taalconfiguratiebestand, wat aangeeft dat de operators bekwaam waren met de taal,” merkte Talos op.
De openbaarmaking komt zoals Intezer zei dat het een nieuwe variant ontdekte van een bekende achterdeur genaamd brandhout die wordt geassocieerd met een China-uitgelijnde dreigingsacteur genaamd Gelsemium, zij het met weinig vertrouwen.
Firewood werd voor het eerst gedocumenteerd door ESET in november 2024, met details over het vermogen om een kernel-stuurprogramma Rootkit-module te benutten genaamd USBDev.Ko om processen te verbergen en verschillende opdrachten uit te voeren die zijn verzonden door een aanvaller gecontroleerde server.
“De kernfunctionaliteit van de achterdeur blijft hetzelfde, maar we hebben wel enkele wijzigingen opgemerkt in de implementatie en de configuratie van de achterdeur,” zei Intezer -onderzoeker Nicole Fishbein. “Het is onduidelijk of de kernelmodule ook is bijgewerkt omdat we deze niet konden verzamelen.”
