Một nhóm tin tặc APT (Advanced Persistent Threat) nói tiếng Trung Quốc, được biết đến với tên gọi UAT-7237, đã tấn công các máy chủ web tại Đài Loan. Mục tiêu của chúng là thiết lập quyền truy cập lâu dài vào các hệ thống quan trọng.
Cisco Talos cho rằng UAT-7237 đã hoạt động ít nhất từ năm 2022 và có thể là một nhánh của nhóm UAT-5918, nhóm đã tấn công cơ sở hạ tầng quan trọng của Đài Loan từ năm 2023.
UAT-7237 sử dụng các công cụ mã nguồn mở đã được tùy chỉnh để tránh bị phát hiện và thực hiện các hành vi độc hại. Chúng khai thác các lỗ hổng bảo mật đã biết trên các máy chủ chưa được vá lỗi, sau đó thăm dò và thu thập thông tin để xác định xem mục tiêu có đáng để tấn công tiếp hay không.
Điểm đặc biệt của UAT-7237 là chúng sử dụng một công cụ có tên SoundBill để tải và chạy các phần mềm độc hại khác, chẳng hạn như Cobalt Strike. Thay vì cài đặt web shell ngay lập tức như UAT-5918, UAT-7237 sử dụng SoftEther VPN để duy trì truy cập và sau đó truy cập hệ thống qua RDP (Remote Desktop Protocol).
Sau khi xâm nhập thành công, tin tặc sẽ di chuyển sang các hệ thống khác trong mạng để mở rộng phạm vi tấn công. Chúng cũng sử dụng JuicyPotato để leo thang quyền và Mimikatz để đánh cắp thông tin đăng nhập. Thậm chí, chúng còn tích hợp Mimikatz vào SoundBill để đơn giản hóa quá trình này.
Ngoài ra, UAT-7237 còn sử dụng FScan để quét các cổng mở và cố gắng tắt UAC (User Account Control), cũng như bật tính năng lưu trữ mật khẩu ở định dạng văn bản thuần túy trên hệ thống Windows.
Các nhà nghiên cứu của Talos cũng phát hiện ra rằng UAT-7237 sử dụng ngôn ngữ giản thể Trung Quốc trong cấu hình VPN, cho thấy rằng những kẻ tấn công có thể là người gốc Hoa.
Cùng thời điểm này, Intezer cũng phát hiện ra một biến thể mới của backdoor FireWood, có liên quan đến nhóm tin tặc Gelsemium, cũng là một nhóm có liên hệ với Trung Quốc. FireWood có khả năng ẩn các tiến trình và thực thi các lệnh từ máy chủ do tin tặc kiểm soát.
Giải thích thuật ngữ:
- APT (Advanced Persistent Threat): Một nhóm tin tặc có kỹ năng cao, thường được tài trợ bởi nhà nước, xâm nhập và duy trì sự hiện diện bí mật trong hệ thống của mục tiêu trong một thời gian dài.
- Web shell: Một đoạn mã độc được tải lên máy chủ web, cho phép kẻ tấn công điều khiển máy chủ từ xa.
- Leo thang quyền (Privilege escalation): Hành động khai thác lỗ hổng để có được quyền truy cập cao hơn trên hệ thống, ví dụ như quyền quản trị viên.
- Backdoor: Một phương pháp bí mật để vượt qua các biện pháp bảo mật thông thường và truy cập vào hệ thống.
- VPN (Virtual Private Network): Mạng riêng ảo, tạo ra một kết nối an toàn và mã hóa giữa thiết bị của người dùng và một mạng khác.
