吳明宜思科 Talos 安全團隊發現,一個由中國政府支持的駭客組織近日利用開原及客製化工具駭入台灣一家網頁代管供應商竊取憑證,並植入後門程式。
Talos 將這個進階滲透威脅 (APT) 組織命名 UAT-7237,相信它至少從 2022 年即活動迄今。他們判斷 UAT-7237 使用該服務供應商代管 SoftEther VPN 用戶端的一個遠端伺服器進行滲透,時間點約在 2022 年九月到 2024 年十二月之間。
研究人員相信,這個組織是 UAT-5918 的子團隊,UAT-5918 也涉及台灣重要基礎架構攻擊,和幾個知名駭客組織 Volt Typhoon 和 Flax Typhoon 也有部份重疊處。然而基於其攻擊策略、手法和程序,研究人員仍然認為是不同組織。
例如,UAT-7237 主要使用 Cobalt Strike 為主要後門程式,而 UAT-5918 則偏好 Meeterpreter 之類的逆向 shell 程式。在後濫用階段 UAT-5918 傾向使用大量 web shell,而 UAT-7237 則專注在少數幾種工具,並部署在特定端點上。另外,UAT-5918 靠 web shell 作為後門程式,而 UAT-7237 則結合直接後門桌機協定 (RDP) 和 SoftEther VPN 用戶端來運作。
根據研究,UAT-7237 是透過已知漏洞駭入曝露在網際網路上未補漏洞的裝置。在其成功後,攻擊者就可以暗中發動偵防活動,判斷受害者是否值得利用 SoftEther VPN 用戶端建立長期存取管道。
在駭入後,UAT-7237 就同時部署了自製和開原工具。其中包含了 SoundBill,是中國駭客用 VTHello 為基礎修改的 shellcode 載入器。它包含二種來自中國即時傳訊軟體 QQ 的嵌入式執行檔,可能作為釣魚攻擊的引誘檔案。另一個是中文駭客常用的權限升級工具 JuicyPotato,是用以在受害端點上執行指令。
對這家不知名的台灣網頁代管供應商,攻擊者特別對其 VPN 和雲端基礎架構感興趣。但 Talos 並未說明 UAT-7237 究竟入侵了多少網頁代管業者或是其他產業組織,也不願說明這個駭客組織發動了哪些攻擊或規模,或是它濫用了哪些漏洞。
雖然有許多細節未公佈但如果你想知道 UAT-7237 這波攻擊技術細節,可在 GitHub 上讀取。
來源:The Register