Un acteur de menace persistante avancée (APT) parlant chinois a été observé ciblant des entités d'infrastructure Web à Taiwan en utilisant des versions personnalisées d'outils open source dans le but d'établir un accès à long terme dans des environnements de victimes de grande valeur.
L'activité a été attribuée par Cisco Talos à un groupe d'activités qu'il suit comme UAT-7237 , qui serait actif depuis au moins 2022. Le groupe de piratage est considéré comme un sous-groupe de l'UAT-5918 , qui est connu pour attaquer des entités d'infrastructures critiques à Taïwan depuis 2023.
« L'UAT-7237 a récemment mené une intrusion ciblant des entités d'infrastructure Web à Taiwan et s'appuie fortement sur l'utilisation d'outils open source, personnalisés dans une certaine mesure, susceptibles d'échapper à la détection et de mener des activités malveillantes au sein de l'entreprise compromise », a déclaré Talos .
Les attaques se caractérisent par l'utilisation d'un chargeur de shellcode sur mesure appelé SoundBill, conçu pour décoder et lancer des charges utiles secondaires, telles que Cobalt Strike.
Malgré les chevauchements tactiques avec l'UAT-5918, le savoir-faire de l'UAT-7237 présente des écarts notables, notamment sa dépendance à Cobalt Strike comme porte dérobée principale, le déploiement sélectif de shells Web après la compromission initiale et l'incorporation d'un accès direct au protocole de bureau à distance (RDP) et de clients VPN SoftEther pour un accès persistant.
Les chaînes d’attaque commencent par l’exploitation de failles de sécurité connues contre des serveurs non corrigés exposés à Internet, suivie d’une reconnaissance initiale et d’une prise d’empreintes digitales pour déterminer si la cible intéresse les acteurs de la menace en vue d’une exploitation ultérieure.
« Alors que l'UAT-5918 commence immédiatement à déployer des shells Web pour établir des canaux d'accès par porte dérobée, l'UAT-7237 s'écarte considérablement, en utilisant le client VPN SoftEther (similaire à Flax Typhoon) pour conserver son accès, et accéder ultérieurement aux systèmes via RDP », ont déclaré les chercheurs Asheer Malhotra, Brandon White et Vitor Ventura.
Une fois cette étape réussie, l'attaquant se tourne vers d'autres systèmes de l'entreprise pour étendre sa portée et mener d'autres activités, notamment le déploiement de SoundBill, un chargeur de shellcode basé sur VTHello , pour lancer Cobalt Strike.
JuicyPotato, un outil d'élévation de privilèges largement utilisé par divers groupes de pirates chinois, et Mimikatz pour extraire les identifiants ont également été déployés sur les hôtes compromis. Fait intéressant, des attaques ultérieures ont exploité une version mise à jour de SoundBill intégrant une instance de Mimikatz afin d'atteindre les mêmes objectifs.
Outre l'utilisation de FScan pour identifier les ports ouverts par rapport aux sous-réseaux IP, UAT-7237 a été observé en train de tenter d'apporter des modifications au registre Windows pour désactiver le contrôle de compte d'utilisateur (UAC) et activer le stockage des mots de passe en clair.
« L'UAT-7237 a spécifié le chinois simplifié comme langue d'affichage préférée dans le fichier de configuration de langue de leur client VPN [SoftEther], indiquant que les opérateurs maîtrisaient la langue », a noté Talos.
Cette révélation intervient alors qu'Intezer a déclaré avoir découvert une nouvelle variante d'une porte dérobée connue appelée FireWood, associée à un acteur de menace aligné sur la Chine appelé Gelsemium, bien qu'avec une faible confiance.
FireWood a été documenté pour la première fois par ESET en novembre 2024, détaillant sa capacité à exploiter un module rootkit de pilote de noyau appelé usbdev.ko pour masquer les processus et exécuter diverses commandes envoyées par un serveur contrôlé par un attaquant.
« La fonctionnalité principale de la porte dérobée reste la même, mais nous avons constaté quelques changements dans son implémentation et sa configuration », a déclaré Nicole Fishbein, chercheuse chez Intezer . « On ignore si le module du noyau a également été mis à jour, car nous n'avons pas pu le récupérer. »
Par Ravie Lakshmanan / src: TheHackerNews