اختراق خوادم الويب في تايوان بواسطة UAT-7237 باستخدام أدوات قرصنة مفتوحة المصدر مخصصة
تم رصد مجموعة تهديد متقدمة تتحدث الصينية تستهدف الكيانات البنية التحتية للويب في تايوان باستخدام إصدارات مخصصة من أدوات مفتوحة المصدر بهدف إنشاء وصول طويل الأمد داخل بيئات الضحايا ذات القيمة العالية.
تمت نسبة هذه الأنشطة إلى مجموعة نشاط تتبعها Cisco Talos تُعرف باسم UAT-7237، والتي يُعتقد أنها نشطة منذ عام 2022 على الأقل. وتُعتبر مجموعة القرصنة هذه فرعية من UAT-5918، المعروفة بمهاجمة الكيانات الحيوية في تايوان منذ عام 2023.
قالت Talos: “نفذت UAT-7237 اختراقًا حديثًا يستهدف الكيانات البنية التحتية للويب في تايوان وتعتمد بشكل كبير على استخدام أدوات مفتوحة المصدر، تم تخصيصها إلى حد ما، على الأرجح لتفادي الكشف وتنفيذ أنشطة خبيثة داخل المؤسسة المخترقة.”
أساليب الهجوم
تتميز الهجمات باستخدام محمل شيفرة مخصص يُدعى SoundBill، مصمم لفك تشفير وإطلاق حمولات ثانوية، مثل Cobalt Strike.
على الرغم من التداخل التكتيكي مع UAT-5918، إلا أن أساليب UAT-7237 تظهر انحرافات ملحوظة، بما في ذلك اعتمادها على Cobalt Strike كخلفية رئيسية، والنشر الانتقائي لبرامج الويب بعد الاختراق الأولي، ودمج الوصول المباشر عبر بروتوكول سطح المكتب البعيد (RDP) وعملاء SoftEther VPN للوصول المستمر.
تبدأ سلاسل الهجوم باستغلال الثغرات الأمنية المعروفة ضد الخوادم غير المرقعة المعرضة للإنترنت، تليها إجراء استكشاف أولي وتحديد الهوية لتحديد ما إذا كان الهدف ذا أهمية لمهاجمي التهديدات للاستغلال اللاحق.
قال الباحثون أشير مالهوتر، براندون وايت، وفيتور فينتورا: “بينما تبدأ UAT-5918 على الفور في نشر برامج الويب لإنشاء قنوات وصول مخترقة، تنحرف UAT-7237 بشكل كبير، باستخدام عميل SoftEther VPN (مشابه لـ Flax Typhoon) للحفاظ على وصولها، والوصول لاحقًا إلى الأنظمة عبر RDP.”
بمجرد نجاح هذه الخطوة، ينتقل المهاجم إلى أنظمة أخرى عبر المؤسسة لتوسيع نطاقهم وتنفيذ أنشطة إضافية، بما في ذلك نشر SoundBill، وهو محمل شيفرة يعتمد على VTHello، لإطلاق Cobalt Strike.
أدوات إضافية
أيضًا تم نشر JuicyPotato على المضيفين المخترقين، وهي أداة تصعيد امتياز تُستخدم على نطاق واسع من قبل مجموعات القرصنة الصينية المختلفة، وMimikatz لاستخراج بيانات الاعتماد. في تحول مثير، استخدمت الهجمات اللاحقة إصدارًا محدثًا من SoundBill الذي يدمج نسخة من Mimikatz لتحقيق نفس الأهداف.
بجانب استخدام FScan لتحديد المنافذ المفتوحة ضد الشبكات الفرعية IP، تم رصد UAT-7237 وهي تحاول إجراء تغييرات على سجل Windows لتعطيل التحكم في حساب المستخدم (UAC) وتفعيل تخزين كلمات المرور بنص واضح.
أشارت Talos إلى أن “UAT-7237 حددت اللغة الصينية المبسطة كلغة عرض مفضلة في ملف تكوين لغة عميل VPN الخاص بهم، مما يدل على أن المشغلين كانوا بارعين في اللغة.”
اكتشافات جديدة
تأتي هذه الإعلانات في الوقت الذي قالت فيه Intezer إنها اكتشفت متغيرًا جديدًا من باب خلفي معروف يُدعى FireWood، المرتبط بمهاجم تهديد مدعوم من الصين يُدعى Gelsemium، على الرغم من انخفاض الثقة.
تم توثيق FireWood لأول مرة بواسطة ESET في نوفمبر 2024، موضحًا قدرته على الاستفادة من وحدة جذرية لسائق النواة تُدعى usbdev.ko لإخفاء العمليات، وتشغيل أوامر مختلفة أرسلها خادم يتحكم فيه المهاجم.
قالت الباحثة في Intezer، نيكول فيشباين: “تظل الوظيفة الأساسية للباب الخلفي كما هي، لكننا لاحظنا بعض التغييرات في التنفيذ وتكوين الباب الخلفي.” من غير الواضح ما إذا كانت الوحدة النمطية للنواة قد تم تحديثها أيضًا حيث لم نتمكن من جمعها.
