Código HTML do Conteúdo
Post: Hackers chineses exploram a infraestrutura de hospedagem na web para ataques cibernéticos - Against Invaders - Notícias de CyberSecurity para humanos.
<div>
<div>
<p>Os pesquisadores da Cisco Talos descobriram um sofisticado grupo de ameaça persistente (APT) de língua chinesa, designada UAT-7237, que tem como alvo ativamente a infraestrutura de hospedagem na web em Taiwan desde pelo menos 2022. </p>
<p>O grupo demonstra sobreposições operacionais significativas ao ator de ameaças identificado anteriormente UAT-5918, sugerindo atividades coordenadas sob um guarda-chuva mais amplo, enquanto emprega táticas distintas para estabelecer persistência a longo prazo em ambientes de alto valor.</p>
<p>O UAT-7237 se distingue através de uma abordagem refinada para manter o acesso persistente, divergindo do tradicional <a href="https://gbhackers.com/threat-actors-exploit-windows-and-linux-server-vulnerabilities/" rel="noreferrer noopener" target="_blank">shell da web</a> Estratégias de implantação. </p>
<p>O grupo explora inicialmente as vulnerabilidades conhecidas em servidores não patches da Internet antes de realizar um rápido reconhecimento para avaliar o valor-alvo. </p>
<p>Sua sofisticada metodologia operacional inclui vários componentes -chave:</p>
<ul>
<li><strong>Carregador de código de shell personalizado</strong>: O grupo implanta “Soundbill”, uma ferramenta personalizada construída sobre a estrutura Vthello em língua chinesa que pode decodificar e executar várias cargas úteis, incluindo beacons de greve de cobalto.</li>
<li><strong>Persistência baseada na VPN</strong>: Em vez de confiar em shells da web, o UAT-7237 usa clientes VPN Softether combinados com direto <a href="https://gbhackers.com/hackers-leverage-vulnerability-for-rdp-access-and-rce/" rel="noreferrer noopener" target="_blank">Acesso ao protocolo de desktop remoto (RDP)</a> para presença sustentada.</li>
<li><strong>Infraestrutura em nuvem</strong>: Operações de comando e controle utilizam URLs da AWS Lambda, indicando operações sofisticadas baseadas em nuvem.</li>
<li><strong>Técnicas de evasão</strong>: O Soundbill contém executáveis incorporados do software de mensagens instantâneas QQ provavelmente usadas como chamarizes, permitindo a implantação de implementações personalizadas de Mimikatz.</li>
</ul>
<p>Isso representa uma evolução significativa nas capacidades do grupo, permitindo a execução do comando arbitrário enquanto evita a detecção por meio de mecanismos avançados de carregamento do código de shell.</p>
<h2 id="comprehensive-credential-harvesting-and-network-pr"><strong>Roubo de credencial e spread de rede</strong></h2>
<p>O UAT-7237 demonstra características avançadas de ameaça persistente por meio de técnicas sistemáticas de extração de credenciais e expansão de rede. </p>
<p>O grupo emprega várias ferramentas, incluindo o Juicypotato para escalada de privilégios, FSCAN para reconhecimento de rede e várias implementações de Mimikatz para a colheita de credenciais. </p>
<p>Suas operações incluem modificações no registro para desativar as restrições de controle da conta do usuário e ativar o armazenamento de senha ClearText, indicando um entendimento completo dos mecanismos de segurança do Windows.</p>
<p>Os atores de ameaças realizam um reconhecimento extenso usando binários de termos de vida e ferramentas especializadas como SharpWmi e WMICMD para execução remota baseada em instrumentação de gerenciamento do Windows. </p>
<p>Suas operações de colheita de credenciais têm como alvo configurações de VNC, lixões de processo LSASS e empregam o projeto SSP_DUMP_LSASS de código aberto para extração de memória. </p>
<p>As credenciais roubadas são sistematicamente arquivadas usando 7-ZIP antes da exfiltração, demonstrando procedimentos organizados de manuseio de dados.</p>
<h2 id="strategic-focus-on-taiwans-critical-infrastructure"><strong>Direcionando a infraestrutura de Taiwan</strong></h2>
<p>A análise da vitimologia do UAT-7237 revela um foco concentrado nos provedores de hospedagem na web de Taiwan e entidades críticas de infraestrutura, alinhando-se a padrões mais amplos de campanha da APT chinesa. </p>
<p>Pesquisadores de Talos <a href="https://blog.talosintelligence.com/uat-7237-targets-web-hosting-infra/" rel="noreferrer noopener nofollow" target="_blank">avaliar</a> Com alta confiança de que o UAT-7237 opera como um subgrupo do UAT-5918, que anteriormente direcionava as entidades de infraestrutura crítica em Taiwan. </p>
<p>A conexão é suportada por ferramentas compartilhadas, padrões de vitimologia e prazos operacionais que abrangem de 2022 a 2024.</p>
<p>O interesse particular do grupo em VPN e infraestrutura em nuvem sugere objetivos de coleta de inteligência além do roubo de dados tradicionais. </p>
<p>Sua janela operacional de dois anos usando a infraestrutura Softether VPN, com configurações simplificadas de idiomas chineses, fornece confiança de atribuição adicional. </p>
<p>O direcionamento estratégico dos provedores de hospedagem na web pode facilitar ataques da cadeia de suprimentos ou coleta mais ampla de inteligência contra entidades hospedadas, representando implicações significativas para a segurança da infraestrutura digital de Taiwan e o cenário regional de segurança cibernética.</p>
<h2 id="h-indicators-of-compromise-iocs"><strong>Indicadores de compromisso (COI):</strong></h2>
<figure>
<table>
<thead>
<tr>
<th><strong>Hash</strong></th>
<th><strong>Caminho do arquivo / nome</strong></th>
<th><strong>Descrição / ferramenta</strong></th>
</tr>
</thead>
<tbody>
<tr>
<td>450FA9029C59AF9EDF2126DF1D6A657EE6EB024D0341B32E6F6BDB8DC04BAE5A</td>
<td>C: temp wmiscan.exe</td>
<td>Wmiscan</td>
</tr>
<tr>
<td>6A72E4B92D6A459FC2C6054E9DDB9819D04ED362BD8477333492410B6D7BAE5AA</td>
<td>c: /hotfix/project1.exe</td>
<td>ferramenta ssp_dump_lsass</td>
</tr>
<tr>
<td>E106716A660C751E37CFC4F4FBF2EA2F833E92C2A49A0B3F40FC36AD77E0A044</td>
<td>C: /hotfixlog/fileless.exe</td>
<td>FScan</td>
</tr>
<tr>
<td>B52BF5A644AE96807E6D846B0CE203611D83CC8A782BADC68AC46C9616649477</td>
<td>C: /hotfixlog/smb_version.exe</td>
<td>SMB_VERSION</td>
</tr>
<tr>
<td>864E67F76AD0CE6D4CC83304AF4347384C364CA6735DF0797E4B1FF9519689C5</td>
<td>FILOUST.EXE</td>
<td>Mimikatz</td>
</tr>
<tr>
<td>DF8497B9C37B780D6B6904A24133131FAED8EA4CF3D75830B53C25D41C5AEA386</td>
<td>Soundbill</td>
<td>Malware</td>
</tr>
<tr>
<td>0952E5409F39824B8A630881D585030A1D656DB897ADF228CE27DDD9243DB20B7</td>
<td>Greve de cobalto</td>
<td>Baliza</td>
</tr>
<tr>
<td>7A5F05DA3739AD3E11414672D01B8BCF23503A9A8F1DD3F10BA2EAD7745CDB1F</td>
<td>Greve de cobalto</td>
<td>Baliza</td>
</tr>
<tr>
<td>cvbbonwxtgvc3isfqfc52cwzja0kvuqd.lambda-url.ap-northeast-1[.]sobre[.]AWS</td>
<td>(URL)</td>
<td>URL de lambda malicioso</td>
</tr>
<tr>
<td>http[://]141[.]164[.]50[.]141/sdksdk608/win-x64[.]rar</td>
<td>(URL)</td>
<td>Carga útil de malware (rar)</td>
</tr>
<tr>
<td>141[.]164[.]50[.]141</td>
<td>(IP)</td>
<td>Servidor C2 malicioso</td>
</tr>
</tbody>
</table>
</figure>
<p><strong><code>AWS Security Services:10-Point Executive Checklist -<a href="https://underdefense.com/aws-security-services-10-point-executive-checklist/?utm_source=cybersecuritynews.com&utm_medium=online_media&utm_campaign=csn_linkedin_newsletter_aws_sec_check_aug" rel="noreferrer noopener nofollow" target="_blank">Download for Free</a></code></strong></p>
</div></div>