Китаеязычная APT-группа UAT-7237 атакует тайваньскую веб-инфраструктуру с помощью кастомизированных инструментов

Ключевой особенностью UAT-7237 является активное использование открытого исходного кода, который кастомизируется для обхода систем защиты и достижения долгосрочного присутствия в атакуемых сетях.

Основная цель UAT-7237, согласно отчету Talos, заключается в закреплении внутри высокоценных корпоративных сред на максимально долгий срок. В ходе недавней успешной операции группировка смогла скомпрометировать тайваньского провайдера веб-хостинга. Особый интерес злоумышленники проявили к получению доступа к VPN и облачной инфраструктуре жертвы.

Для достижения своих целей UAT-7237 применяет комплексный арсенал, включающий как общедоступные инструменты, так и собственные разработки, адаптированные под конкретные задачи. Среди них выделяется кастомизированный загрузчик шелл-кода, отслеживаемый Talos под именем "SoundBill". Этот инструмент, основанный на открытом проекте "VTHello", написан на китайском языке и предназначен для декодирования и выполнения произвольного шелл-кода из файла "ptiti.txt", что позволяет загружать, в том числе, бекдоры Cobalt Strike.

Анализ тактики, техник и процедур (TTP) UAT-7237 выявил значительные пересечения с UAT-5918, что позволило исследователям предположить их родство и возможную работу под общим "зонтиком". Обе группы используют китайский язык для разработки и настройки инструментов, демонстрируют схожую географию целей и временные рамки активности. Однако Talos выделяет UAT-7237 в отдельную группу из-за заметных отличий в операционной деятельности.

В отличие от UAT-5918, активно засоряющей системы веб-шеллами, UAT-7237 предпочитает более избирательный подход к их размещению. Основным каналом удаленного доступа для UAT-7237 служит не Meterpreter, как у UAT-5918, а комбинация прямого доступа по протоколу RDP и клиентов VPN SoftEther. Само использование SoftEther VPN для обеспечения скрытого доступа и его настройки на упрощенный китайский язык являются важными индикаторами происхождения группы.

Процесс атаки UAT-7237 начинается с эксплуатации известных уязвимостей на неисправленных серверах, доступных из интернета. После первоначального проникновения группа оперативно проводит разведку с помощью стандартных системных команд (nslookup, systeminfo, ipconfig, ping) для оценки ценности цели и сбора данных о сети. Затем злоумышленники загружают и устанавливают клиент SoftEther VPN, используя удаленный сервер под своим контролем. Это обеспечивает им устойчивый канал для последующего доступа через RDP. Дальнейшая деятельность внутри сети включает активное сканирование (с использованием инструментов FScan и проверок SMB), поиск учетных данных и попытки распространения на другие системы с помощью инструментов вроде SharpWMI и WMICmd, позволяющих выполнять WMI-запросы и произвольные команды на удаленных хостах.

На этапе пост-компрометации UAT-7237 широко применяет инструменты для повышения привилегий и кражи данных. Помимо SoundBill, который может использоваться для выполнения команд или загрузки Mimikatz, группа активно использует JuicyPotato - популярный среди китаеязычных угроз инструмент для эскалации привилегий. Злоумышленники также вносят изменения в конфигурацию системы: отключают контроль учетных записей (UAC) через реестр, пытаются включить хранение паролей в открытом виде с помощью модификации параметра WDigest, а также манипулируют настройками через консоль управления службами компонентов (mmc comexp.msc).

Основной фокус после закрепления в сети - извлечение учетных данных. Для этого UAT-7237 использует Mimikatz (в том числе встроенный в SoundBill), дампы процесса LSASS (с помощью ssp_dump_lsass или Comsvcs.dll), а также активно ищет конфигурации и пароли VNC в реестре и на дисках. Полученные данные упаковываются (например, с помощью 7z) для последующей эксфильтрации.

Данные Talos указывают на то, что UAT-7237 представляет собой серьезную и хорошо организованную угрозу, ориентированную на долгосрочный шпионаж и кражу конфиденциальных данных из корпоративных сетей Тайваня. Использование кастомизированных открытых инструментов и VPN для доступа делает их действия менее заметными для традиционных систем защиты.

IPv4

• 141.164.50.141

Domains

• cvbbonwxtgvc3isfqfc52cwzja0kvuqd.lambda-url.ap-northeast-1.on.aws

URLs

• http://141.164.50.141/sdksdk608/win-x64.rar

SHA256

• 0952e5409f39824b8a630881d585030a1d656db897adf228ce27dd9243db20b7
• 450fa9029c59af9edf2126df1d6a657ee6eb024d0341b32e6f6bdb8dc04bae5a
• 6a72e4b92d6a459fc2c6054e9ddb9819d04ed362bd847333492410b6d7bae5aa
• 7a5f05da3739ad3e11414672d01b8bcf23503a9a8f1dd3f10ba2ead7745cdb1f
• 864e67f76ad0ce6d4cc83304af4347384c364ca6735df0797e4b1ff9519689c5
• b52bf5a644ae96807e6d846b0ce203611d83cc8a782badc68ac46c9616649477
• df8497b9c37b780d6b6904a24133131faed8ea4cf3d75830b53c25d41c5ea386
• e106716a660c751e37cfc4f4fbf2ea2f833e92c2a49a0b3f40fc36ad77e0a044