Китайскоязычная хакерская группировка, отслеживаемая как UAT-7237, ведет активную кампанию против веб-инфраструктуры на Тайване. Основная цель группы — получение долгосрочного и устойчивого доступа к ценным сетям. Для достижения этой цели злоумышленники используют модифицированные версии общедоступных хакерских инструментов, что позволяет им избегать обнаружения системами безопасности. Исследованием деятельности группы занимались специалисты Cisco Talos: Ашир Малхотра, Брэндон Уайт и Витор Вентура.
Группировка UAT-7237 активна как минимум с 2022 года. Аналитики считают ее подгруппой более крупного объединения UAT-5918, известного своими атаками на критически важные объекты на Тайване с 2023 года. Однако UAT-7237 демонстрирует отличный от основной группы почерк. Если UAT-5918 немедленно развертывает веб-шеллы для получения бэкдор-доступа, то UAT-7237 использует в качестве основного бэкдора фреймворк Cobalt Strike и устанавливает веб-шеллы избирательно, уже после первоначального взлома.
Ключевым инструментом в арсенале группы является SoundBill — специально разработанный загрузчик шеллкода, созданный на основе открытого инструмента VTHello. Его задача — декодировать и запускать вторичные полезные нагрузки, главной из которых является Cobalt Strike, обеспечивающий удаленное управление скомпрометированной системой.
Для обеспечения постоянного присутствия в сети UAT-7237 применяет клиент SoftEther VPN. Прямым доказательством связи группы с Китаем стал языковой конфигурационный файл этого VPN-клиента, в котором в качестве предпочитаемого языка отображения был установлен упрощенный китайский. Кроме того, для доступа к системам после закрепления используется протокол удаленного рабочего стола (RDP), что сближает их тактику с методами группировки Flax Typhoon.
После проникновения в сеть злоумышленники переходят к горизонтальному перемещению. С помощью инструмента FScan они сканируют IP-подсети для выявления открытых портов и уязвимых систем. Для повышения привилегий на захваченных машинах используется утилита JuicyPotato, которая широко применяется китайскими хакерскими группами.
Для кражи учетных данных применяется инструмент Mimikatz. В ходе наблюдения за деятельностью группы была обнаружена обновленная версия загрузчика SoundBill, в которую экземпляр Mimikatz был встроен напрямую. Это свидетельствует о постоянной эволюции их инструментария.
Чтобы обойти защитные механизмы операционной системы, хакеры вносят изменения в реестр Windows. В частности, они отключают контроль учетных записей (UAC) и активируют хранение паролей в виде обычного текста, что значительно упрощает дальнейшую компрометацию систем в сети.
Параллельно с этим исследованием, компания Intezer сообщила об обнаружении нового варианта бэкдора FireWood. Исследователь Николь Фишбейн с низкой степенью уверенности связывает этот вредонос с другой прокитайской группой, известной как Gelsemium.
Бэкдор FireWood был впервые задокументирован компанией ESET в ноябре 2024 года. Его основная функциональность в новой версии осталась прежней, однако были замечены изменения в реализации и конфигурации.
Ключевым компонентом FireWood является руткит-модуль для ядра под названием usbdev.ko. Его основная задача — скрывать процессы вредоносного ПО в системе и выполнять команды, поступающие с сервера, контролируемого злоумышленниками. На данный момент остается неизвестным, был ли обновлен сам модуль usbdev.ko вместе с основной частью бэкдора.
Изображение носит иллюстративный характер
Группировка UAT-7237 активна как минимум с 2022 года. Аналитики считают ее подгруппой более крупного объединения UAT-5918, известного своими атаками на критически важные объекты на Тайване с 2023 года. Однако UAT-7237 демонстрирует отличный от основной группы почерк. Если UAT-5918 немедленно развертывает веб-шеллы для получения бэкдор-доступа, то UAT-7237 использует в качестве основного бэкдора фреймворк Cobalt Strike и устанавливает веб-шеллы избирательно, уже после первоначального взлома.
Ключевым инструментом в арсенале группы является SoundBill — специально разработанный загрузчик шеллкода, созданный на основе открытого инструмента VTHello. Его задача — декодировать и запускать вторичные полезные нагрузки, главной из которых является Cobalt Strike, обеспечивающий удаленное управление скомпрометированной системой.
Для обеспечения постоянного присутствия в сети UAT-7237 применяет клиент SoftEther VPN. Прямым доказательством связи группы с Китаем стал языковой конфигурационный файл этого VPN-клиента, в котором в качестве предпочитаемого языка отображения был установлен упрощенный китайский. Кроме того, для доступа к системам после закрепления используется протокол удаленного рабочего стола (RDP), что сближает их тактику с методами группировки Flax Typhoon.
После проникновения в сеть злоумышленники переходят к горизонтальному перемещению. С помощью инструмента FScan они сканируют IP-подсети для выявления открытых портов и уязвимых систем. Для повышения привилегий на захваченных машинах используется утилита JuicyPotato, которая широко применяется китайскими хакерскими группами.
Для кражи учетных данных применяется инструмент Mimikatz. В ходе наблюдения за деятельностью группы была обнаружена обновленная версия загрузчика SoundBill, в которую экземпляр Mimikatz был встроен напрямую. Это свидетельствует о постоянной эволюции их инструментария.
Чтобы обойти защитные механизмы операционной системы, хакеры вносят изменения в реестр Windows. В частности, они отключают контроль учетных записей (UAC) и активируют хранение паролей в виде обычного текста, что значительно упрощает дальнейшую компрометацию систем в сети.
Параллельно с этим исследованием, компания Intezer сообщила об обнаружении нового варианта бэкдора FireWood. Исследователь Николь Фишбейн с низкой степенью уверенности связывает этот вредонос с другой прокитайской группой, известной как Gelsemium.
Бэкдор FireWood был впервые задокументирован компанией ESET в ноябре 2024 года. Его основная функциональность в новой версии осталась прежней, однако были замечены изменения в реализации и конфигурации.
Ключевым компонентом FireWood является руткит-модуль для ядра под названием usbdev.ko. Его основная задача — скрывать процессы вредоносного ПО в системе и выполнять команды, поступающие с сервера, контролируемого злоумышленниками. На данный момент остается неизвестным, был ли обновлен сам модуль usbdev.ko вместе с основной частью бэкдора.
