Un acteur avancé de menace persistante avancée (APT) a été observé ciblant des entités d’infrastructure Web à Taïwan en utilisant des versions personnalisées d’outils open source dans le but d’établir un accès à long terme dans des environnements de victime de grande valeur.
L’activité a été attribuée par Cisco Talos à un cluster d’activités qu’il suit comme UAT-7237ce qui est considéré comme actif depuis au moins 2022. Le groupe de piratage est évalué comme un sous-groupe de l’UAT-5918, qui est connu pour attaquer des entités d’infrastructures critiques à Taïwan dès 2023.
“L’UAT-7237 a effectué une intrusion récente ciblant les entités d’infrastructure Web à Taïwan et s’appuie fortement sur l’utilisation d’outils open source, personnalisés dans une certaine mesure, susceptibles d’échapper à la détection et à mener des activités malveillantes au sein de l’entreprise compromise”, a déclaré Talos.
Les attaques sont caractérisées par l’utilisation d’un chargeur de shellcode sur mesure doublé Soundbill conçu pour décoder et lancer des charges utiles secondaires, telles que Cobalt Strike.
Malgré les chevauchements tactiques avec l’UAT-5918, le Tradecraft de l’UAT-7237 présente des écarts notables, y compris sa dépendance à l’égard de la frappe de cobalt en tant que porte arrière principale, le déploiement sélectif de shells Web après un compromis initial et l’incorporation de l’accès à distance à distance directe (RDP) et des clients VPN doux pour l’accès persistant.
Les chaînes d’attaque commencent par l’exploitation de défauts de sécurité connus contre les serveurs non corrigés exposés à Internet, suivis par la réalisation de reconnaissance initiale et d’empreintes digitales pour déterminer si l’objectif intéresse les acteurs de la menace pour l’exploitation de suivi.
“Alors que l’UAT-5918 commence immédiatement à déploier des coquilles Web pour établir des canaux d’accès arrière, l’UAT-7237 s’écarte considérablement, en utilisant le client VPN douce (similaire au typhon de lin) pour persister leur accès, et plus tard accéder aux systèmes via RDP”, a déclaré les chercheurs Asher Malhotra, Brandon White et Vitor Ventura.
Une fois cette étape réussie, l’attaquant pivotait d’autres systèmes de l’entreprise pour étendre sa portée et mener d’autres activités, notamment le déploiement de Soundbill, un chargeur Shellcode basé sur Vthello, pour le lancement de la frappe de cobalt.
Juicypotato, un outil d’escalade de privilège largement utilisé par divers groupes de piratage chinois, et Mimikatz pour extraire les informations d’accès. Dans une tournure intéressante, les attaques ultérieures ont mis à profit une version mise à jour de Soundbill qui intègre une instance Mimikatz afin d’atteindre les mêmes objectifs.
En plus d’utiliser FSCAN pour identifier les ports ouverts par rapport aux sous-réseaux IP, l’UAT-7237 a été observé pour tenter de modifier le registre de Windows pour désactiver le contrôle des comptes d’utilisateurs (UAC) et activer le stockage des mots de passe claire.
“UAT-7237 a spécifié le chinois simplifié comme la langue d’affichage préférée dans leur [SoftEther] Fichier de configuration de la langue du client VPN, indiquant que les opérateurs étaient compétents avec la langue “, a noté Talos.
La divulgation intervient alors qu’Intezer a déclaré avoir découvert une nouvelle variante d’une porte dérobée connue appelée bois de chauffage associé à un acteur de menace aligné par la Chine appelé Gelesium, bien qu’avec une faible confiance.
Firewood a été documenté pour la première fois par ESET en novembre 2024, détaillant sa capacité à tirer parti d’un module RootKit de pilote de noyau appelé USBDEV.KO pour masquer les processus et exécuter diverses commandes envoyées par un serveur contrôlé par attaquant.
“La fonctionnalité de base de la porte dérobée reste la même, mais nous avons remarqué certains changements dans la mise en œuvre et la configuration de la porte dérobée”, a déclaré la chercheuse en INTEZE, Nicole Fishbein. “Il n’est pas clair si le module du noyau a également été mis à jour car nous n’avons pas pu le collecter.”
