في ظل تصاعد التهديدات السيبرانية، تبرز مجموعة UAT-7237 كأحد الفاعلين الرئيسيين في اختراق خوادم الويب في تايوان. في هذا المقال، نستعرض تفاصيل الهجمات وأدوات القرصنة المستخدمة.
اختراق خوادم الويب في تايوان بواسطة UAT-7237 باستخدام أدوات قرصنة مفتوحة المصدر مخصصة
تم رصد مجموعة تهديد مستمرة متقدمة (APT) تتحدث الصينية تستهدف الكيانات المتعلقة بالبنية التحتية للويب في تايوان باستخدام نسخ مخصصة من أدوات مفتوحة المصدر بهدف إنشاء وصول طويل الأمد داخل بيئات الضحايا عالية القيمة.
تمت نسبة هذه الأنشطة إلى مجموعة نشاط تتبعها Cisco Talos تحت اسم UAT-7237، والتي يُعتقد أنها نشطة منذ عام 2022 على الأقل. يُعتبر هذا الفريق جزءًا فرعيًا من UAT-5918، المعروف باستهدافه للكيانات الحيوية في تايوان منذ عام 2023.
قالت Talos: “قامت UAT-7237 بعملية اختراق حديثة تستهدف الكيانات المتعلقة بالبنية التحتية للويب في تايوان وتعتمد بشكل كبير على استخدام أدوات مفتوحة المصدر، تم تخصيصها إلى حد ما، على الأرجح لتجنب الكشف وإجراء أنشطة خبيثة داخل المؤسسة المخترقة.”
أدوات وتقنيات الاختراق
تتميز الهجمات باستخدام محمل شيفرة مخصص يُطلق عليه اسم SoundBill، والذي تم تصميمه لفك تشفير وإطلاق حمولات ثانوية، مثل Cobalt Strike.
على الرغم من التداخل التكتيكي مع UAT-5918، تظهر تقنيات UAT-7237 انحرافات ملحوظة، بما في ذلك اعتمادها على Cobalt Strike كخلفية رئيسية، ونشرها الانتقائي لصدفات الويب بعد الاختراق الأولي، ودمج الوصول المباشر عبر بروتوكول سطح المكتب البعيد (RDP) وعملاء SoftEther VPN للوصول المستمر.
تبدأ سلاسل الهجوم باستغلال الثغرات الأمنية المعروفة ضد الخوادم غير المرقعة المعرضة للإنترنت، تليها إجراء استطلاع أولي وتحديد الهوية لتحديد ما إذا كان الهدف يهم المهاجمين لاستغلاله لاحقًا.
قال الباحثون أشيير مالوهوترا، براندون وايت، وفيتور فينتورا: “بينما تبدأ UAT-5918 فورًا في نشر صدفات الويب لإنشاء قنوات وصول مخترقة، تنحرف UAT-7237 بشكل كبير، باستخدام عميل SoftEther VPN (مشابه لـ Flax Typhoon) للحفاظ على وصولها، ثم الوصول إلى الأنظمة عبر RDP.”
بمجرد نجاح هذه الخطوة، ينتقل المهاجم إلى أنظمة أخرى عبر المؤسسة لتوسيع نطاقه وتنفيذ أنشطة إضافية، بما في ذلك نشر SoundBill، وهو محمل شيفرة يعتمد على VTHello، لإطلاق Cobalt Strike.
أدوات إضافية واستخدامات
تم نشر JuicyPotato، وهي أداة تصعيد امتيازات تُستخدم على نطاق واسع من قبل مجموعات القرصنة الصينية المختلفة، وMimikatz لاستخراج بيانات الاعتماد على الأنظمة المخترقة. في تطور مثير، استخدمت الهجمات اللاحقة إصدارًا محدثًا من SoundBill الذي يدمج نسخة من Mimikatz لتحقيق نفس الأهداف.
بالإضافة إلى استخدام FScan لتحديد المنافذ المفتوحة ضد الشبكات الفرعية، لوحظ أن UAT-7237 حاولت إجراء تغييرات على سجل Windows لتعطيل التحكم في حساب المستخدم (UAC) وتفعيل تخزين كلمات المرور النصية الصريحة.
أشارت Talos إلى أن “UAT-7237 حددت الصينية المبسطة كلغة العرض المفضلة في ملف تكوين عميل VPN الخاص بها، مما يدل على أن المشغلين كانوا بارعين في اللغة.”
اكتشافات جديدة
تأتي هذه الإفصاحات في الوقت الذي أعلنت فيه Intezer اكتشاف نوع جديد من باب خلفي معروف باسم FireWood، المرتبط بمهاجم يتماشى مع الصين يُدعى Gelsemium، على الرغم من وجود ثقة منخفضة.
تم توثيق FireWood لأول مرة بواسطة ESET في نوفمبر 2024، موضحًا قدرته على استخدام وحدة جذرية لسائق النواة تُدعى usbdev.ko لإخفاء العمليات، وتنفيذ أوامر مختلفة مرسلة من خادم يتحكم فيه المهاجم.
قالت الباحثة في Intezer نيكول فيشباين: “تظل الوظيفة الأساسية للباب الخلفي كما هي، لكننا لاحظنا بعض التغييرات في التنفيذ وتكوين الباب الخلفي.” لم يتضح ما إذا كانت الوحدة النمطية للنواة قد تم تحديثها أيضًا حيث لم نتمكن من جمعها.
رابط المصدر: هنامع استمرار تطور أساليب الهجوم، من الضروري أن تبقى المؤسسات على اطلاع دائم بأحدث التهديدات. يجب تعزيز الأمن السيبراني لحماية البيانات والبنية التحتية الحيوية.
