Kihasznált web hosting
A Cisco Talos azonosította az UAT‑7237 nevű, kínai nyelvű APT szereplőt, amely már legalább 2022 óta aktív, és különösen tajvani webhosting infrastruktúrák elleni célzott támadásokat hajt végre. Bár tevékenysége bizonyos mértékben átfedi a hasonló hátterű UAT‑5918 csoportét — például a használt eszközök és célpontok tekintetében —, Talos egyértelmű különbségeket azonosított a támadási technikákban, ami önálló entitássá teszi UAT‑7237-et.
A csoport elsődleges célja a hosszú távú jelenlét biztosítása a kompromittált vállalati rendszerekben. A kezdeti behatolás ismert, javítatlan védelemmel nem rendelkező internetes szerverek kihasználásával történik. Ezt gyors felderítés követi — például rendszerinformációk lekérdezésével és hálózati értesítési parancsokkal —, hogy a támadók felmérjék az adott környezet értékét. Eltérésként említhető, hogy míg UAT‑5918 jellemzően web shell hátteret telepít, addig UAT‑7237 csak válogatott célpontokon alkalmazza ezeket. Ehelyett elsősorban egy SoftEther VPN klienst használ, mely lehetővé teszi számára a rejtett és kitartó hozzáférést, valamint belépést az érintett rendszerbe RDP csatornán keresztül. A támadók egyedi eszközöket is alkalmaznakm amik közül az egyik legérdekesebb a SoundBill nevű shellcode loader, amely képes dekódolni és környezetbe tölteni például Cobalt Strike távoli hozzáférési malware-t. Emellett privilégium-emelést elősegítő eszközök – például JuicyPotato – és credenciális kinyeréshez használt Mimikatz is szerepel a repertoárban.
A mozgástér kiszélesítésére UAT‑7237 különféle eszközöket alkalmaz, így a LOLBins, valamint WMI-alapú eszközök — SharpWMI és WMICmd — segítségével távoli parancs végrehajtásokat és információgyűjtést végez. A SoftEther VPN szerver használata is külön figyelmet érdemel, a szerver konfigurációja Simplified Chinese megjelenítést tartalmaz, amely arra utal, hogy a szereplők kínai nyelven dolgoznak. A VPN infrastruktúra egy ideig, szeptember 2022-től egészen 2024 decemberéig aktív volt, ami a tartós jelenlétre utal
