Atacantes cibernéticos de língua chinesa, identificados como uma ameaça persistente avançada (APT), foram observados visando entidades de infraestrutura web em Taiwan, utilizando versões personalizadas de ferramentas de código aberto com o objetivo de estabelecer acesso de longo prazo em ambientes de vítimas de alto valor.
A atividade foi atribuída pela Cisco Talos a um cluster de atividade que ela monitora como UAT-7237, que acredita-se estar ativo desde pelo menos 2022.
O grupo de hackers é avaliado como um subgrupo do UAT-5918, conhecido por atacar entidades de infraestrutura crítica em Taiwan já em 2023.
"UAT-7237 realizou uma intrusão recente visando entidades de infraestrutura web dentro de Taiwan e conta fortemente com o uso de ferramentas de código aberto, personalizadas até certo ponto, provavelmente para evitar detecção e conduzir atividades maliciosas dentro da empresa comprometida," disse o Talos.
Os ataques são caracterizados pelo uso de um carregador de shellcode sob medida chamado SoundBill, que é projetado para decodificar e lançar payloads secundários, como o Cobalt Strike.
Apesar das sobreposições táticas com o UAT-5918, os métodos de UAT-7237 exibem desvios notáveis, incluindo sua dependência do Cobalt Strike como backdoor primário, a implantação seletiva de web shells após o comprometimento inicial e a incorporação de acesso direto por protocolo de desktop remoto (RDP) e clientes SoftEther VPN para acesso persistente.
As cadeias de ataque começam com a exploração de falhas de segurança conhecidas contra servidores desatualizados expostos à internet, seguido por reconhecimento inicial e identificação digital para determinar se o alvo é de interesse para os atores da ameaça para exploração subsequente.
"Enquanto o UAT-5918 começa imediatamente a implantar web shells para estabelecer canais de acesso burlados, o UAT-7237 desvia significativamente, usando o cliente VPN SoftEther (similar ao Flax Typhoon) para manter seu acesso, e mais tarde acessar os sistemas via RDP," disseram os pesquisadores Asheer Malhotra, Brandon White e Vitor Ventura.
Uma vez que essa etapa seja bem-sucedida, o atacante foca em outros sistemas na empresa para expandir seu alcance e realizar atividades adicionais, incluindo a implantação de SoundBill, um carregador de shellcode baseado em VTHello, para lançar o Cobalt Strike.
Também implantado em hosts comprometidos está o JuicyPotato, uma ferramenta de escalonamento de privilégios amplamente utilizada por diversos grupos de hackers chineses, e Mimikatz para extração de credenciais.
Em uma reviravolta interessante, ataques subsequentes aproveitaram uma versão atualizada do SoundBill que incorpora uma instância do Mimikatz para alcançar os mesmos objetivos.
Além de usar o FScan para identificar portas abertas contra sub-redes IP, o UAT-7237 foi observado tentando fazer alterações no Registro do Windows para desativar o Controle de Conta de Usuário (UAC) e ativar o armazenamento de senhas em texto claro.
"UAT-7237 especificou Chinês Simplificado como a língua de exibição preferida em seu arquivo de configuração de língua do cliente VPN, indicando que os operadores tinham proficiência com a língua," notou o Talos.
A divulgação vem enquanto a Intezer disse que descobriu uma nova variante de um backdoor conhecido chamado FireWood, que está associado a um ator de ameaça alinhado à China chamado Gelsemium, embora com baixa confiança.
FireWood foi documentado pela primeira vez pela ESET em novembro de 2024, detalhando sua capacidade de alavancar um módulo rootkit de driver de kernel chamado usbdev.ko para esconder processos e executar vários comandos enviados por um servidor controlado pelo atacante.
"A funcionalidade central do backdoor permanece a mesma, mas notamos algumas mudanças na implementação e na configuração do backdoor," disse a pesquisadora da Intezer, Nicole Fishbein.
"Não está claro se o módulo de kernel também foi atualizado, pois não conseguimos coletá-lo."
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...