Se ha observado que los actores de amenaza persistente avanzada (APT) de habla china se dirigen a entidades de infraestructura web taiwanesas que utilizan versiones personalizadas de herramientas personalizadas de código abierto destinadas a establecer un acceso a largo plazo en entornos de víctimas de alto valor.
Esta actividad se atribuye a un grupo de actividad rastreado por Cisco Talos como UAT-7237. Se cree que esto fue activo desde al menos 2022. El grupo de piratería está calificado como un subgrupo de UAT-5918, conocido por atacar las entidades de infraestructura crítica de Taiwán hasta 2023.
«UAT-7237 ha implementado una reciente invasión dirigida a entidades de infraestructura web dentro de Taiwán, confiando en gran medida en el uso de herramientas de código abierto que se adaptan hasta cierto punto, y es probable que evite la detección y realice actividades maliciosas dentro de las empresas comprometidas», dijo Talos.
Los ataques se caracterizan por el uso de un cargador de shellcode a medida llamado Soundville, diseñado para decodificar y lanzar cargas útiles secundarias como Cobalt Strike.
A pesar de su superposición táctica con UAT-5918, el comercio de la UAT-7237 muestra desviaciones significativas, incluida la dependencia de los ataques de cobalto como puerta trasera primaria, la implementación selectiva de capas web después de los compromisos iniciales, y la incorporación del acceso directo a protocolo de escritorio remoto (acceso RDP) para el acceso directo de escritorio remoto (RDP).
La cadena de ataque comienza con la explotación de fallas de seguridad conocidas en servidores no asignados expuestos a Internet, seguido de un reconocimiento inicial y huellas dactilares para determinar si el actor de amenaza está interesado en la próxima explotación.
«El UAT-5918 pronto comenzará a implementar el shell web para establecer un canal de acceso a puerta trasera, pero el UAT-7237 utilizará un cliente VPN suave (similar al Typhoon de Flax) para mantener el acceso y luego acceder al sistema a través de RDP, como lo afirma Asheer Asheer Malhotra y Vitor Vitor Ventura.
Si este paso es exitoso, el atacante girará a otros sistemas en toda la empresa para expandir su alcance y llevar a cabo más actividades, incluido el despliegue de Soundbill, un cargador de shellcode para lanzar una huelga de cobalto.
También se despliegan a hosts comprometidos JuicyPotato, una herramienta de escalada de privilegios ampliamente utilizada por varios grupos de piratería chinos y Mimikatz para extraer calificaciones. Con un giro interesante, los ataques posteriores aprovecharon una versión actualizada de Soundville, que incrusta las instancias de Mimikats para lograr el mismo objetivo.
Además de usar FSCAN para identificar puertos abiertos para las subredes IP, se ha observado que UAT-7237 intenta realizar cambios en el registro de Windows, deshabilitar el control de la cuenta de usuario (UAC) y activar el almacenamiento para las contraseñas de Cleartext.
«UAT-7237 especifica el chino abreviado como el lenguaje de visualización preferido para el archivo de configuración del lenguaje del cliente VPN (suave), lo que indica que el operador es competente en el lenguaje», dijo Talos.
Esta divulgación se produce cuando Intezer declaró que a pesar de su baja confianza, descubrió una nueva variante de la puerta trasera conocida llamada Fire, que se asocia con un actor de amenaza alineado en China llamado Gelsemium.
ESET documentó por primera vez el fuego en noviembre de 2024 y detalló su capacidad para aprovechar el módulo RootKit de un controlador de núcleo llamado usbdev.ko para ocultar los procesos y ejecutar varios comandos enviados desde el servidor de control del atacante.
«La funcionalidad central de la puerta trasera sigue siendo la misma, pero notamos algunos cambios en la implementación y configuración de la puerta trasera», dice Nicole Fishbein, investigadora de Intezer. «Se desconoce si el módulo del kernel se actualizó porque tampoco se pudo recopilar».
Source link
