Các nhà nghiên cứu từ Cisco Talos đã phát hiện một nhóm tác nhân đe dọa dai dẳng cấp cao (APT) nói tiếng Trung Quốc, được định danh là UAT-7237, đã tích cực nhắm mục tiêu vào hạ tầng lưu trữ web tại Đài Loan kể từ năm 2022. Hoạt động của nhóm này cho thấy sự chồng lấn đáng kể với tác nhân đe dọa UAT-5918 đã được xác định trước đó, gợi ý về các hoạt động phối hợp dưới một ô dù đe dọa lớn hơn, trong khi vẫn sử dụng các chiến thuật riêng biệt để thiết lập sự bền vững lâu dài trong các môi trường có giá trị cao. Việc nắm bắt về mối đe dọa mạng này là rất quan trọng để bảo vệ hạ tầng số.

Tổng quan về Nhóm APT UAT-7237

UAT-7237 nổi bật với cách tiếp cận tinh vi để duy trì quyền truy cập dai dẳng. Nhóm này không chỉ dựa vào các chiến lược triển khai web shell truyền thống mà còn phát triển các phương pháp tiên tiến hơn. Ban đầu, các tác nhân đe dọa khai thác các lỗ hổng bảo mật đã biết trên các máy chủ hướng internet chưa được vá, sau đó nhanh chóng tiến hành trinh sát để đánh giá giá trị của mục tiêu.

Sự tiến hóa trong khả năng của nhóm cho phép thực thi lệnh tùy ý trong khi vẫn né tránh được sự phát hiện thông qua các cơ chế tải shellcode nâng cao. Đây là một dấu hiệu cho thấy mức độ chuyên nghiệp và khả năng lẩn tránh của UAT-7237.

Kỹ thuật Leo thang Đặc quyền và Mở rộng Mạng lưới

Công cụ và Kỹ thuật Thu thập Thông tin Xác thực

UAT-7237 thể hiện các đặc tính của một mối đe dọa dai dẳng cấp cao thông qua việc trích xuất thông tin xác thực một cách có hệ thống và các kỹ thuật mở rộng mạng lưới. Nhóm sử dụng nhiều công cụ bao gồm:

• JuicyPotato: Dùng để leo thang đặc quyền.
• FScan: Sử dụng cho mục đích trinh sát mạng.
• Mimikatz (nhiều phiên bản): Dùng để thu thập thông tin xác thực.
• SharpWMI và WMICmd: Các công cụ dựa trên Windows Management Instrumentation (WMI) để thực thi từ xa, phục vụ cho việc trinh sát sâu rộng.
• ssp_dump_lsass: Một dự án mã nguồn mở được sử dụng để trích xuất bộ nhớ từ tiến trình LSASS.

Các hoạt động thu thập thông tin xác thực của chúng nhắm mục tiêu vào cấu hình VNC, các bản kết xuất tiến trình LSASS (Local Security Authority Subsystem Service), và sử dụng các công cụ chuyên biệt để trích xuất thông tin từ bộ nhớ hệ thống.

Điều chỉnh Hệ thống để Duy trì Quyền kiểm soát

Để đảm bảo sự bền vững và quyền kiểm soát, các tác nhân đe dọa thực hiện các sửa đổi registry. Các thay đổi này bao gồm vô hiệu hóa các hạn chế của User Account Control (UAC) và cho phép lưu trữ mật khẩu dưới dạng văn bản rõ (cleartext password storage). Điều này cho thấy sự hiểu biết sâu sắc về các cơ chế bảo mật của Windows và khả năng thao túng chúng để đạt được mục tiêu.

Thông tin xác thực bị đánh cắp được lưu trữ có hệ thống bằng 7-Zip trước khi được truyền ra ngoài (exfiltration), chứng tỏ các quy trình xử lý dữ liệu có tổ chức và chuyên nghiệp của nhóm.

Mục tiêu và Phân tích Nạn nhân

Phân tích nạn nhân của UAT-7237 cho thấy sự tập trung cao độ vào các nhà cung cấp dịch vụ lưu trữ web và các thực thể hạ tầng quan trọng của Đài Loan. Điều này phù hợp với các mô hình chiến dịch APT lớn hơn của Trung Quốc. Các nhà nghiên cứu Talos đánh giá với độ tin cậy cao rằng UAT-7237 hoạt động như một nhóm con của UAT-5918, nhóm đã từng nhắm mục tiêu vào các thực thể hạ tầng quan trọng ở Đài Loan trước đây. Mối liên hệ này được hỗ trợ bởi việc chia sẻ công cụ, các mô hình nạn nhân học và khung thời gian hoạt động kéo dài từ năm 2022 đến 2024.

Sự quan tâm đặc biệt của nhóm đến hạ tầng VPN và đám mây gợi ý các mục tiêu thu thập thông tin tình báo vượt ra ngoài việc đánh cắp dữ liệu truyền thống. Cửa sổ hoạt động kéo dài hai năm của chúng, sử dụng hạ tầng SoftEther VPN với các cấu hình ngôn ngữ tiếng Trung giản thể, cung cấp thêm bằng chứng về khả năng quy kết. Việc nhắm mục tiêu chiến lược vào các nhà cung cấp dịch vụ lưu trữ web có thể tạo điều kiện cho các cuộc tấn công mạng chuỗi cung ứng hoặc thu thập thông tin tình báo rộng lớn hơn chống lại các thực thể được lưu trữ. Điều này mang ý nghĩa quan trọng đối với an ninh hạ tầng kỹ thuật số của Đài Loan và bối cảnh an ninh mạng khu vực.

Tham khảo thêm về phân tích của Talos tại: Cisco Talos Intelligence Blog

Chỉ số Xâm nhập (IOCs)

Các chỉ số xâm nhập liên quan đến hoạt động của nhóm UAT-7237 bao gồm các công cụ và kỹ thuật sau:

• Công cụ leo thang đặc quyền:
  • JuicyPotato
• Công cụ trinh sát mạng:
  • FScan
• Công cụ thu thập thông tin xác thực:
  • Mimikatz (nhiều biến thể)
  • ssp_dump_lsass
• Công cụ thực thi từ xa và trinh sát WMI:
  • SharpWMI
  • WMICmd
• Công cụ nén và lưu trữ dữ liệu:
  • 7-Zip
• Hạ tầng VPN được sử dụng:
  • SoftEther VPN (với cấu hình tiếng Trung giản thể)
• Kỹ thuật sửa đổi Registry:
  • Vô hiệu hóa UAC (User Account Control)
  • Kích hoạt lưu trữ mật khẩu cleartext
• Mục tiêu thu thập thông tin:
  • Cấu hình VNC
  • Kết xuất tiến trình LSASS

Tác động và Khuyến nghị Phòng ngừa

Sự hiện diện và các kỹ thuật tinh vi của nhóm APT UAT-7237 đặt ra một mối đe dọa đáng kể đối với các tổ chức, đặc biệt là các nhà cung cấp dịch vụ lưu trữ và hạ tầng quan trọng. Khả năng xâm nhập mạng và duy trì quyền truy cập lâu dài của chúng, cùng với mục tiêu thu thập thông tin tình báo, đòi hỏi các biện pháp bảo vệ mạnh mẽ.

Để giảm thiểu rủi ro từ các mối đe dọa như UAT-7237, các tổ chức cần tập trung vào các biện pháp sau:

• Quản lý bản vá: Ưu tiên cập nhật các bản vá bảo mật cho tất cả các hệ thống hướng internet. Việc khai thác các lỗ hổng bảo mật đã biết là điểm vào ban đầu phổ biến của nhóm này.
• Giám sát mạng và phát hiện xâm nhập: Triển khai các giải pháp giám sát mạng liên tục và hệ thống phát hiện xâm nhập (IDS/IPS) để nhanh chóng phát hiện các hành vi bất thường, đặc biệt là các hoạt động leo thang đặc quyền hoặc truyền dữ liệu ra ngoài.
• Quản lý thông tin xác thực: Thực thi chính sách mật khẩu mạnh, xác thực đa yếu tố (MFA), và hạn chế tối đa việc lưu trữ mật khẩu cleartext. Thường xuyên kiểm tra và thu hồi các thông tin xác thực bị nghi ngờ.
• Cấu hình an toàn: Rà soát và củng cố cấu hình an toàn cho các hệ thống Windows, bao gồm việc đảm bảo UAC được kích hoạt và các chính sách bảo mật được áp dụng nghiêm ngặt để ngăn chặn việc sửa đổi registry trái phép.
• Phân đoạn mạng: Triển khai phân đoạn mạng để giới hạn khả năng di chuyển ngang của kẻ tấn công trong trường hợp bị xâm nhập.
• Nâng cao nhận thức: Đào tạo nhân viên về các mối đe dọa lừa đảo (phishing) và kỹ thuật xã hội, vì đây thường là các phương pháp ban đầu để thu thập thông tin hoặc cài đặt mã độc.