- Cisco Talos melihat aktor ancaman baru, dilacak sebagai UAT- 7237
- Kelompok ini menyerupai kelompok yang disponsori negara bagian “topan”
- Itu menargetkan perusahaan hosting web di Taiwan
Grup peretasan Cina sekarang menargetkan perusahaan holding web di Taiwan, kata para peneliti.
Pakar keamanan dari Cisco Talos mengatakan mereka melihat kelompok yang belum pernah dilihat sebelumnya yang berfokus pada “membangun kegigihan jangka panjang dalam entitas infrastruktur internet di Taiwan.”
Mereka melacak penjahat di bawah tag UAT- 7237, dan percaya itu adalah subkelompok dari UAT- 5918, yang berarti itu masih merupakan entitas yang berbeda, dan kemungkinan besar yang disponsori negara, pada saat itu. Sementara Talos tidak secara eksplisit mengatakannya, ia mengatakan bahwa alat yang digunakan para aktor ancaman sangat mirip dengan peretas “topan” yang berbeda yang diketahui disponsori negara.
Hidup dari Tanah
Sebagian besar alat adalah open resource dan agak disesuaikan, dengan loader shellcode khusus yang dikenal sebagai “soundbill” terutama menonjol.
Grup ini menggunakan Cobalt Strike Beacons, cukup pilih -pilih dengan cangkang webnya, dan bergantung pada kombinasi akses protokol desktop computer jarak jauh (RDP) dan klien VPN yang melembutkan.
Talos baru -baru ini mengamati kelompok yang melanggar orang Taiwan Holding penyedia, dan “sangat tertarik” untuk mendapatkan akses ke VPN dan infrastruktur cloud organisasi korban.
“UAT- 7237 menggunakan alat open-source dan khusus untuk melakukan beberapa operasi jahat di perusahaan, termasuk pengintaian, ekstraksi kredensial, menggunakan malware yang dipesan lebih dahulu, mengatur akses backdoored melalui klien VPN, pemindaian jaringan dan proliferasi,” jelas para peneliti.
Untuk akses awal, UAT- 7237 mengeksploitasi kerentanan yang diketahui pada web server yang tidak ditandingi yang terpapar ke Net. Teknik ini juga umum untuk kelompok yang disponsori negara lain, seperti Volt Tropical cyclone dan Flax Typhoon, yang biasanya mengeksploitasi peralatan VPN, firewall software, dan web server e-mail yang tidak ditandingi. Dalam beberapa kasus, mereka menyalahgunakan kredensial yang valid untuk VPN, RDP, dan akun cloud.
Sementara mereka sesekali menjatuhkan cangkang internet ringan atau pemuat khusus, preferensi mereka adalah untuk berbaur dengan aktivitas jaringan typical dan membangun persistensi melalui infrastruktur yang dikompromikan daripada phishing atau malware.
Melalui Majalah Infosecurity
