Se ha observado que un actor de amenaza persistente avanzada (APT) de habla china dirigida a entidades de infraestructura web en Taiwán utilizando versiones personalizadas de herramientas de código abierto con el objetivo de establecer un acceso a largo plazo en entornos de víctimas de alto valor.
La actividad ha sido atribuida por Cisco Talos a un clúster de actividad que rastrea como UAT-7237que se cree que es activo desde al menos 2022. Se evalúa el grupo de piratería como un subgrupo de UAT-5918, que se sabe que está atacando entidades de infraestructura crítica en Taiwán hasta 2023.
«UAT-7237 realizó una reciente intrusión dirigida a entidades de infraestructura web dentro de Taiwán y se basa en gran medida en el uso de herramientas de código abierto, personalizadas hasta cierto punto, que probablemente evaden la detección y realice actividades maliciosas dentro de la empresa comprometida», dijo Talos.
Los ataques se caracterizan por el uso de un cargador de shellcode a medida denominado Soundbill que está diseñado para decodificar y lanzar cargas útiles secundarias, como Cobalt Strike.
A pesar de las superposiciones tácticas con UAT-5918, la artesanía de UAT-7237 exhibe desviaciones notables, incluida su dependencia de la huelga de cobalto como puerta trasera primaria, el despliegue selectivo de capas web después del compromiso inicial, y la incorporación de acceso directo a protocolo de escritorio (RDP) y clientes VPN para el acceso persistente.
Las cadenas de ataque comienzan con la explotación de fallas de seguridad conocidas contra servidores no parpadeados expuestos a Internet, seguido de realizar un reconocimiento inicial y huellas dactilares para determinar si el objetivo es de interés para los actores de amenaza para la explotación de seguimiento.
«Si bien UAT-5918 inmediatamente comienza a implementar proyectiles web para establecer canales de acceso traseros, UAT-7237 se desvía significativamente, utilizando el cliente VPN Softher (similar al Typhoon de Flax) para persistir su acceso y luego acceder a los sistemas a través de RDP», los investigadores Asheer Malhotra, Brandon White y Vitor Ventura dijeron.
Una vez que este paso es exitoso, el atacante gira a otros sistemas en toda la empresa para expandir su alcance y llevar a cabo nuevas actividades, incluido el despliegue de Soundbill, un cargador de shellcode basado en Vthello, para el lanzamiento de Cobalt Strike.
También se implementa en hosts comprometidos JuicyPotato, una herramienta de escalada de privilegios ampliamente utilizada por varios grupos de piratería chinos y Mimikatz para extraer credenciales. En un giro interesante, los ataques posteriores han aprovechado una versión actualizada de Soundbill que incrusta una instancia de Mimikatz para lograr los mismos objetivos.
Además de usar FSCAN para identificar puertos abiertos contra subredes IP, se ha observado que UAT-7237 intenta hacer cambios en el registro de Windows para deshabilitar el control de la cuenta de usuario (UAC) y activar el almacenamiento de contraseñas de ClearText.
«UAT-7237 especificó el chino simplificado como el lenguaje de visualización preferido en su archivo de configuración del idioma del cliente VPN (Softher), lo que indica que los operadores eran competentes con el lenguaje», señaló Talos.
La divulgación se produce cuando Intezer dijo que descubrió una nueva variante de una puerta trasera conocida llamada leña asociada con un actor de amenaza alineado por China llamado Gelsemium, aunque con poca confianza.
ESET documentó por primera vez en noviembre de 2024, detallando su capacidad para aprovechar un módulo RootKit de controlador de kernel llamado USBDEV.KO para ocultar los procesos y ejecutar varios comandos enviados por un servidor controlado por el atacante.
«La funcionalidad central de la puerta trasera sigue siendo la misma, pero notamos algunos cambios en la implementación y la configuración de la puerta trasera», dijo la investigadora Intezer Nicole Fishbein. «No está claro si el módulo del núcleo también se actualizó ya que no pudimos recopilarlo».