Cisco Talos araştırmacıları, en az 2022’den beri Tayvan’da Web Hosting Altyapısını aktif olarak hedefleyen UAT-7237 olarak adlandırılan sofistike Çince konuşan gelişmiş kalıcı tehdit (APT) grubu ortaya çıkardılar.
Grup, daha önce tanımlanmış tehdit oyuncusu UAT-5918 ile önemli operasyonel örtüşmeler göstermektedir, bu da daha geniş bir tehdit şemsiyesi altında koordineli faaliyetler önerirken, yüksek değerli ortamlarda uzun vadeli kalıcılık oluşturmak için farklı taktikler kullanır.
UAT-7237, geleneksel web kabuğu dağıtım stratejilerinden ayrılarak, kalıcı erişimi korumak için rafine bir yaklaşımla kendini ayırır.
Grup başlangıçta, hedef değeri değerlendirmek için hızlı keşif yapmadan önce takılmamış internete dönük sunuculardaki bilinen güvenlik açıklarından yararlanmaktadır.
Sofistike operasyonel metodolojileri birkaç temel bileşen içerir:
- Özel kabuk kodu yükleyici: Grup, Çince dil Vthello çerçevesi üzerine inşa edilmiş ve Cobalt Strike Beacons da dahil olmak üzere çeşitli yükleri çözebilen özel bir araç olan “Soundbill” i dağıtıyor.
- VPN tabanlı kalıcılık: UAT-7237, web kabuklarına güvenmek yerine, sürekli varlık için doğrudan uzaktan masaüstü protokolü (RDP) erişimi ile birlikte yumuşak VPN istemcileri kullanır.
- Bulut altyapısı: Komut ve kontrol işlemleri, sofistike bulut tabanlı işlemleri gösteren AWS lambda URL’lerini kullanır.
- Kaçınma Teknikleri: Soundbill, özelleştirilmiş Mimikatz uygulamalarının dağıtımına izin verirken, yıkım olarak kullanılan QQ anında mesajlaşma yazılımından gömülü yürütülebilir ürünler içerir.
Bu, grubun yeteneklerinde önemli bir evrimi temsil eder ve gelişmiş kabuk kodu yükleme mekanizmaları yoluyla algılamadan kaçınırken keyfi komut yürütmeye izin verir.
Kimlik Bilgisi Hırsızlığı ve Ağ Yayılımı
UAT-7237, sistematik kimlik bilgisi çıkarma ve ağ genişletme teknikleri yoluyla gelişmiş kalıcı tehdit özelliklerini gösterir.
Grup, ayrıcalık artışı için juicypotato, ağ keşfi için FSCAN ve kimlik bilgisi hasat için Mimikatz’ın çeşitli uygulamaları dahil olmak üzere birçok araç kullanır.
İşlemleri, kullanıcı hesabı kontrol kısıtlamalarını devre dışı bırakmak ve Windows güvenlik mekanizmalarının kapsamlı bir şekilde anlaşılmasını gösteren clear metin şifre depolamasını etkinleştirmek için kayıt defteri değişikliklerini içerir.
Tehdit aktörleri, hem kara geçirme ikili dosyalarını hem de Windows Management enstrümantasyon tabanlı uzaktan yürütme için SharpWMI ve WMICMD gibi özel araçları kullanarak kapsamlı keşif yapıyor.
Kimlik bilgisi hasat işlemleri VNC konfigürasyonlarını, LSASS işlem dökümlerini hedefler ve bellek çıkarma için açık kaynaklı SSP_DUMP_LSASS projesini kullanır.
Çalınan kimlik bilgileri, organize veri işleme prosedürlerini göstererek, eksfiltrasyondan önce 7-ZIP kullanılarak sistematik olarak arşivlenir.
Tayvan’ın altyapısını hedeflemek
UAT-7237’nin kurbanı analizi, Tayvanlı web barındırma sağlayıcılarına ve kritik altyapı varlıklarına yoğun bir odaklanma ve daha geniş Çin APT kampanya kalıplarıyla uyumlu olduğunu ortaya koyuyor.
Talos araştırmacıları, UAT-7237’nin daha önce Tayvan’daki kritik altyapı varlıklarını hedefleyen UAT-5918’in bir alt grubu olarak çalıştığını güvenle değerlendiriyor.
Bağlantı, 2022’den 2024’e yayılan paylaşılan takımlar, mağdur kalıpları ve operasyonel zaman dilimleri ile desteklenmektedir.
Grubun VPN ve bulut altyapısına özel ilgisi, geleneksel veri hırsızlığının ötesinde istihbarat toplama hedeflerini önermektedir.
Basitleştirilmiş Çince dil konfigürasyonlarına sahip yumuşak VPN altyapısı kullanarak iki yıllık operasyonel pencereleri ek atıf güveni sağlar.
Web barındırma sağlayıcılarının stratejik hedeflenmesi, tedarik zinciri saldırılarını veya barındırılan varlıklara karşı daha geniş istihbarat koleksiyonunu kolaylaştırabilir ve Tayvan’ın dijital altyapı güvenliği ve bölgesel siber güvenlik manzarası için önemli etkileri temsil edebilir.
Uzlaşma Göstergeleri (IOCS):
| Doğramak | Dosya Yolu / Adı | Açıklama / Araç |
|---|---|---|
| 450fa9029C59AF9EDF2126DF1D6A65E6B024D0341B32E6F6BDB8DC04BAE5A | C: \ temp \ wmiscan.exe | Wmiscan |
| 6A72E4B92D6A459FC2C6054E9DBB9819D0D3ED362BD84733492410B6D7BAE5AA | C: /hotfix/project1.exe | SSP_DUMP_LSASS Aracı |
| E106716a660c751e37cfc4f4fbff2e2f833e92c2a49a0b3f40fc36ad77e0a044 | C: /hotfixlog/fileless.exe | FSCA |
| B52bf5a644ae96807e6d846b0ce203611d83cc8a782badc68ac46c9616649477 | C: /hotfixlog/smb_version.exe | SMB_VERSION |
| 864E67F76AD0CE6D4C83304AF434734C364CA673DFF0797E4B1FF9519689C5 | Fileleless.exe | Yüz ifadeleri |
| Df8497b9c37b780d6b6904a24133131faed8a4cf3d75830b53c25d41c5ea386 | Soundbill | Kötü amaçlı yazılım |
| 0952E5409F39824B8A63081D585030A1D65DB897ADF228CE27DD9243DB20B7 | Kobalt grevi | İşaret |
| 7A5F05DA3739AD3E11414672D01B8BCF23503A9A8F1DD3F10BAA2ED7745CDB1F | Kobalt grevi | İşaret |
| cvbbonwxtgvc3isfqfc52cwzja0kvuqd.lambda-url.ap-northeast-1[.]Açık[.]Aws | (URL) | Kötü niyetli lambda url |
| HTTP[://]141[.]164[.]50[.]141/sdksdk608/win-x64[.]rar | (URL) | Kötü amaçlı yazılım yükü (RAR) |
| 141[.]164[.]50[.]141 | (IP) | Kötü niyetli C2 Sunucusu |
AWS Security Services: 10-Point Executive Checklist - Download for Free