Группа UAT-7237 и Тайвань

Тайваньские веб-серверы атакованы группой UAT-7237 с помощью модифицированных open-source инструментов

Кибератаки на критическую инфраструктуру Тайваня не прекращаются, и на этот раз в центре внимания — группа UAT-7237, которую специалисты Cisco Talos связывают с более крупным кластером UAT-5918. Судя по данным исследователей, хакеры действуют с 2022 года, но лишь в последние месяцы заметно активизировались, нацеливаясь на веб-инфраструктурные компании и организации в регионе.

Ставка на open-source

Главная особенность операций UAT-7237 — активное использование открытых инструментов, но с хитрым твистом: они берут готовые решения, кастомизируют их под себя и запускают в ход. Это позволяет не только сэкономить ресурсы, но и значительно усложнить атрибуцию. Ведь отличить «чистый» open-source сканер от его «допиленной» версии злоумышленника бывает крайне сложно.

Именно так группа использует:

• SoundBill — загрузчик шеллкода, созданный на базе VTHello, который выполняет расшифровку и запуск полезных нагрузок (в первую очередь Cobalt Strike).

• JuicyPotato для повышения привилегий.

• Mimikatz для кражи учётных данных. В свежих атаках Mimikatz вообще вшит прямо внутрь SoundBill, что превращает загрузчик в своеобразный «швейцарский нож».

• FScan для поиска открытых портов.

Как проходит атака

Злоумышленники начинают с поиска уязвимых и не пропатченных серверов, доступных из интернета. Эксплойт — входной билет в систему. Далее — разведка и анализ инфраструктуры, чтобы понять, стоит ли продолжать проникновение.

В отличие от «старшего брата» UAT-5918, который сразу же устанавливает веб-шеллы, UAT-7237 действует осторожнее:

• для закрепления используют SoftEther VPN (похожий подход замечен у Flax Typhoon),

• затем получают доступ через RDP,

• после чего двигаются по внутренним системам, постепенно расширяя зону контроля.

Только когда позиции закреплены, в дело вступает Cobalt Strike — основная бэкдор-платформа для дальнейших операций.

Уровень кастомизации и признаки происхождения

Отдельный интерес вызывает то, как тщательно злоумышленники подстраивают инструменты под себя. Например, в конфигурации SoftEther VPN у них указан упрощённый китайский язык как предпочтительный. Такой «языковой след» лишний раз подтверждает китайское происхождение операторов.

Также хакеры вносят изменения в системный реестр Windows, чтобы отключить UAC и включить хранение паролей в открытом виде. Всё это — для упрощения дальнейших действий.

Сопутствующие угрозы

Параллельно исследователи из Intezer сообщили о новой модификации бэкдора FireWood, связанного с группировкой Gelsemium. Хотя уверенность в атрибуции невысока, находка интересна: FireWood использует драйвер уровня ядра usbdev.ko, скрывающий процессы и обеспечивающий невидимость. В новой версии сохраняется основной функционал, но меняется конфигурация и часть реализации.

Почему это важно

Деятельность UAT-7237 — классический пример работы APT-группы, которая не изобретает велосипед, а умело комбинирует готовые инструменты с собственными модификациями. Это позволяет оставаться малозаметными и при этом чрезвычайно эффективными.

Для компаний, особенно работающих с веб-инфраструктурой и критическими сервисами, подобные атаки — серьёзное напоминание:

• регулярное обновление серверов — не рекомендация, а необходимость,

• контроль VPN и RDP-доступа — обязательный элемент защиты,

• мониторинг open-source инструментов в инфраструктуре — отдельный приоритет, так как то, что выглядит «обычным админским тулом», может оказаться кастомизированным оружием атакующих.

Итог

UAT-7237 — это группа, которая работает тихо, планомерно и явно надолго. Их деятельность подтверждает тенденцию: кастомизация open-source становится главным оружием современных APT. И пока одни администраторы спорят, ставить ли патч в пятницу вечером, другие уже теряют доступ к своей инфраструктуре.

Берегите себя и свои нервы.