Tayvan’daki Web Altyapı Varlıklarını, yüksek değerli kurban ortamlarında uzun vadeli erişim sağlamak amacıyla açık kaynaklı araçların özelleştirilmiş sürümlerini kullanarak Tayvan’daki Web Altyapı Varlıklarını hedefleyen Çince konuşan bir gelişmiş Kalıcı Tehdit (APT) aktörü gözlenmiştir.
Etkinlik, Cisco Talos tarafından izlediği bir etkinlik kümesine atfedildi. UAT-7237en az 2022’den beri aktif olduğuna inanılan. Hacking grubunun, Tayvan’daki kritik altyapı varlıklarına 2023’e kadar saldırdığı bilinen UAT-5918’in bir alt grubu olarak değerlendiriliyor.
Talos, “UAT-7237, Tayvan içindeki Web Altyapı Varlıklarını hedefleyen yeni bir saldırı gerçekleştirdi ve büyük ölçüde belirli bir dereceye kadar özelleştirilen, tesisten alınan işletme içinde kötü niyetli faaliyetler yürütmesi ve kötü niyetli faaliyetler yürütmesi büyük ölçüde güveniyor.” Dedi.
Saldırılar, kobalt grevi gibi ikincil yükleri çözmek ve başlatmak için tasarlanmış ısmarlama bir kabuk kodu yükleyicisinin kullanımı ile karakterize edilir.
UAT-5918 ile taktik örtüşmeye rağmen, UAT-7237’nin Tradecraft, birincil arka kapı olarak kobalt grevine güvenmesi, ilk uzlaşmadan sonra web mermilerinin seçici olarak dağıtılması ve doğrudan uzaktan masaüstü protokol (RDP) erişim ve yumuşak VPN müşterilerinin kalıcı erişim için dahil edilmesi de dahil olmak üzere dikkate değer sapmalar sergiler.
Saldırı zincirleri, bilinen güvenlik kusurlarının internete maruz kalan satılmamış sunuculara karşı kullanımı ile başlar, ardından hedefin takip için tehdit aktörlerini ilgilendirip ilgilenmediğini belirlemek için ilk keşif ve parmak izi gerçekleştirir.
“UAT-5918 derhal backdoured erişim kanalları oluşturmak için web mermileri dağıtmaya başlarken, UAT-7237, erişimlerini devam ettirmek için yumuşak VPN istemcisini (keten tayfuna benzer) kullanarak önemli ölçüde sapıyor ve daha sonra RDP aracılığıyla sistemlere erişiyor,” diye araştırmacılar Asheer Malhotra, Brandon White ve Ventura söyledi.
Bu adım başarılı olduktan sonra, saldırgan, erişimlerini genişletmek ve Vthello’ya dayalı bir kabuk kodu yükleyici olan Soundbill’in dağıtımının Kobalt Strike’ı başlatması için daha fazla etkinlik gerçekleştirmesi için işletme genelindeki diğer sistemlere döner.
Ayrıca, tehlikeye atılan ana bilgisayarlarda, çeşitli Çin hackleme grupları tarafından yaygın olarak kullanılan bir ayrıcalık yükseltme aracı olan Juicypotato ve kimlik bilgilerini çıkarmak için Mimikatz’dır. İlginç bir bükülmede, sonraki saldırılar aynı hedeflere ulaşmak için bir Mimikatz örneğini içine alan Soundbill’in güncellenmiş bir sürümünü kullandı.
IP alt ağlarına karşı açık bağlantı noktalarını tanımlamak için FSCAN kullanmanın yanı sıra, UAT-7237’nin kullanıcı hesabı kontrolünü (UAC) devre dışı bırakmak ve temiz metin şifrelerinin depolanmasını açmak için Windows kayıt defteri değişiklikleri yapmaya çalıştığı gözlemlenmiştir.
“UAT-7237, tercih edilen ekran dili olarak basitleştirilmiş Çince belirtildi [SoftEther] VPN istemcisinin dil yapılandırma dosyası, operatörlerin dil konusunda yetkin olduğunu gösteriyor. “
Açıklama, Intezer’in, düşük güvenle de olsa, Gelsemium adlı Çin uyumlu bir tehdit oyuncusu ile ilişkili olan yakacak odun adı verilen bilinen bir arka kapının yeni bir varyantını keşfettiğini söylediği gibi geliyor.
Yakacak odun ilk olarak Kasım 2024’te ESET tarafından belgelendi ve işlemleri gizlemek için USBDev.KO adlı bir çekirdek sürücü rootkit modülünden yararlanma yeteneğini detaylandırdı ve saldırgan kontrollü bir sunucu tarafından gönderilen çeşitli komutları çalıştırdı.
Intezer araştırmacısı Nicole Fishbein, “Arka kapının temel işlevselliği aynı kalıyor, ancak arka kapının uygulanmasında ve yapılandırmasında bazı değişiklikler fark ettik.” Dedi. Diyerek şöyle devam etti: “Çekirdek modülünün toplayamadığımız için de güncellenip güncellenmediği belirsiz.”