- Cisco Tallos는 UAT -7237로 추적 된 새로운 위협 행위자를 발견했습니다.
- 이 그룹은 중국 국가가 후원하는 그룹과 유사한 “태풍”입니다.
- 대만의 웹 호스팅 회사를 대상으로합니다
중국 해킹 그룹은 현재 대만의 웹 호스팅 회사를 대상으로하고 있다고 연구원들은 말했다.
Sisco Talos의 보안 전문가들은 이전에 그룹을 보지 못했다고 말했다.
그들은 Monika의 UAT -7237에 따라 MisCreants를 찾고 있으며 UAT -5918의 하위 그룹으로 여겨집니다. 이는 여전히 뚜렷한 단체이며 아마도 상태가 주도 된 상태 일 것입니다. Talos는 명확하게 말하지는 않지만 위협 행위자는 국가가 후원하는 다양한 “태풍”해커를 사용하는 도구를 사용하고 있다고 말합니다.
땅에서 산다
대부분의 도구는 오픈 소스이며 다소 사용자 정의 된 맞춤형 쉘 코드 로더, 특히 “사운드 빌”이라고합니다.
이 그룹은 Cobalt Strike Beacon을 사용합니다. 웹 쉘로 상당히 선택되며 원격 데스크톱 프로토콜 (RDP)에 대한 액세스와 Softther VPN 클라이언트의 조합에 따라 다릅니다.
Talos는 최근 대만 호스팅 공급 업체를 위반했으며 “특히 피해자의 VPN 및 클라우드 인프라에 대한 접근에 관심이있는 것을 관찰했습니다.
“UAAT -7237은 오픈 소스 및 맞춤형 툴링을 사용하여 기업에서 여러 가지 오염 된 작업을 수행합니다. 여기에는 재고, 자격 증명, BasePok 맬웨어 설치, VPN 클라이언트를 통한 BackDode 액세스, 네트워크 스캔 및 설명을 포함한 백 다드 액세스를 포함합니다.” 연구원들은 설명했다.
기본 액세스의 경우 UAT -7237은 인터넷의 노출 된 원유 서버에서 알려진 약점을 사용합니다. 이 기술은 일반적으로 무급 VPN 응용 프로그램, 방화벽 및 이메일 서버를 사용하는 Volt Typhoon 및 Flax Typhoon과 같은 다른 주 후원 그룹에서도 일반적입니다. 경우에 따라 VPN, RDP 및 클라우드 계정에 대한 유효한 자격 증명을 남용합니다.
때때로 가벼운 웹 쉘 또는 사용자 정의 로더를 떨어 뜨릴 때 일반적인 네트워크 활동과 혼합하고 피싱 또는 맬웨어 대신 인프라를 통한 인내를 설정하는 것입니다.
을 통해 Infoscience Magazine
