台湾のウェブホスティング事業者が、高価値標的への長期的なアクセスを確立しようとする中国のAPTの標的となっていると、Cisco Talosが報告しています。
UAT-7237として追跡され、2022年から活動していると考えられるこの脅威アクターは、TalosがUAT-5918として追跡しているハッキンググループの一部である可能性が高く、これは中国のAPTであるVolt TyphoonやFlax Typhoonと重複しています。
しかしTalosによると、UAT-7237がCobalt Strikeを使用し、特定のシステムのみにウェブシェルを展開し、RDPアクセスや正規のVPNクライアントを利用していることから、このAPTはUAT-5918の傘下にある別の活動クラスターを示していると考えられます。
最近、台湾のウェブホスティングプロバイダーで発生した侵入では、UAT-7237がインターネットに公開されたサーバーの既知の脆弱性を悪用して初期アクセスを獲得し、偵察活動を行い、リモートアクセスのためにSoftEther VPNソフトウェアを展開していました。
偵察や横展開のために、この脅威アクターは市販のツールとWindows Management Instrumentation(WMI)ベースのユーティリティ(SharpWMIやWMICmdなど)を組み合わせて使用していました。
様々なオープンソースツールとともに、UAT-7237はSoundBillと呼ばれるカスタムシェルコードローダーも展開していることが観測されており、これは中国語で書かれており、中国のインスタントメッセージングソフトQQに由来する2つの実行ファイルが含まれています。
TalosによるとSoundBillは、カスタムMimikatzの実装から任意コマンド実行につながるコード、あるいは長期的な情報窃取アクセスのためのCobalt Strikeペイロードまで、様々なペイロードを読み込むことができます。
UAT-7237はまた、権限昇格ツールJuicyPotatoを使ってコマンド実行を行い、侵害されたシステムのOS設定を変更し、平文パスワードの保存を有効にし、認証情報の窃取のために様々なツールを使用していました。
広告。スクロールして続きをお読みください。
この脅威アクターはまた、FscanやSMBスキャンなどのネットワークスキャンツールを使ってネットワーク上の他のエンドポイントを発見し、SoftEther VPNクライアントを展開して侵害したシステムへのアクセスを維持していました。
SoftEther VPNをホストしているリモートサーバーが2022年9月に作成されたことから、TalosはこのAPTが2年以上にわたりリモートアクセスソフトウェアを使用していると考えています。
関連記事: 中国企業が国家支援ハッカーによるツール利用に関与との報告
関連記事: 中国の研究者、マスク氏のStarlink衛星対策にレーザーと妨害を提案