19/08/25
Связанная с Китаем группа UAT-7237 стала объектом нового отчёта Cisco Talos . По данным специалистов, эта команда действует с 2022 года и специализируется на долгосрочном закреплении в инфраструктуре жертв. В одном из задокументированных эпизодов злоумышленники проникли в сети тайваньского хостинг-провайдера, где в приоритете было получение доступа к VPN и облачным сервисам компании. Для этого хакеры сочетали открытые инструменты с собственными разработками.
Анализ серверов, использованных в кампании, показал, что для постоянного доступа применялся SoftEther VPN -клиент с настройками по умолчанию на упрощённый китайский язык, пишет Securitylab. Эта деталь подтвердила гипотезу о происхождении группы. Talos связывает её с другой известной китайской APT-командой — UAT-5918, которая также нацелена на критическую инфраструктуру Тайваня и имеет сходство с Volt Typhoon и Flax Typhoon. Тем не менее исследователи выделяют UAT-7237 в отдельный коллектив из-за отличий в тактике: здесь предпочтение отдаётся установке Cobalt Strike и ограниченному числу веб-шеллов, тогда как UAT-5918 активно использует Meterpreter и массово размещает веб-бэкдоры.
Для первоначального проникновения UAT-7237 эксплуатирует уязвимости в не обновлённых публичных сервисах. После закрепления атакующие проводят разведку, а затем устанавливают SoftEther VPN для скрытого и длительного присутствия. Помимо Cobalt Strike применяются и другие средства: кастомный загрузчик SoundBill, написанный на китайском языке и основанный на VTHello, содержит два исполняемых файла от китайского мессенджера QQ , предположительно используемых как отвлекающие элементы в фишинговых атаках. Также активно используется JuicyPotato для повышения привилегий и выполнения команд.
Для кражи учётных данных злоумышленники применяют Mimikatz , анализируют системный реестр и содержимое дисков. В ряде случаев они пытались менять настройки и права пользователей, чтобы хранить пароли в открытом виде. Для работы с LSASS использовался проект ssp_dump_lsass с GitHub, позволяющий извлекать пароли напрямую из памяти процесса. В качестве дополнительного механизма запускались BAT-файлы с командами через сторонние утилиты.
Сетевое сканирование осуществлялось при помощи FScan, который проверяет открытые порты в подсетях и собирает информацию о службах SMB. Получив доступ к новым системам, злоумышленники быстро проводили повторную разведку и пробовали перемещаться дальше, используя ранее украденные пароли.
Сами исследователи Talos не раскрыли, сколько организаций пострадало от деятельности UAT-7237 и какие именно отрасли были под прицелом. Однако опубликованные индикаторы компрометации уже доступны в официальном репозитории проекта на GitHub, что может помочь администраторам проверить свои системы на признаки взлома. Важная деталь отчёта — акцент на том, что даже известные уязвимости, если серверы остаются без обновлений, становятся входной точкой для атак этого уровня.
