كشفت تقارير أمنية حديثة عن تعرض خوادم ويب في تايوان لهجمات سيبرانية متقدمة نفذتها مجموعة تهديد ناطقة بالصينية تُعرف باسم UAT-7237، وذلك باستخدام إصدارات معدّلة من أدوات مفتوحة المصدر بهدف ترسيخ وجود طويل الأمد داخل بيئات الضحايا ذات القيمة العالية.
مجموعة UAT-7237 وتكتيكاتها في الهجوم
أشارت شركة Cisco Talos إلى أن هذه المجموعة تنشط منذ عام 2022، وتُعد فرعًا من مجموعة UAT-5918 التي استهدفت البنية التحتية الحيوية في تايوان منذ عام 2023.
ورصد الباحثون أن UAT-7237 اعتمدت على أداة SoundBill، وهي محمّل برمجي مخصص مصمم لفك تشفير وتشغيل حمولات ثانوية مثل Cobalt Strike. وتتميّز هذه المجموعة عن UAT-5918 باستخدامها Cobalt Strike كبوابة خلفية رئيسية، بالإضافة إلى نشر محدود لأدوات الويب الخبيثة بعد الاختراق الأولي، واعتمادها على بروتوكول سطح المكتب البعيد (RDP) وعميل SoftEther VPN لضمان وصول مستمر.
استغلال الثغرات وتوسّع نطاق الهجوم
بدأت سلاسل الهجوم عبر استغلال ثغرات أمنية معروفة في خوادم غير محدّثة مكشوفة للإنترنت، تلاها تنفيذ عمليات استطلاع لتحديد قيمة الأهداف. وبعد تأكيد أهميتها، يقوم المهاجمون بالانتقال إلى أنظمة أخرى داخل الشبكة من أجل توسيع نطاق السيطرة.
إلى جانب SoundBill، استخدمت المجموعة أدوات مثل JuicyPotato لتصعيد الامتيازات، وMimikatz لاستخراج بيانات الاعتماد. ووفقًا للباحثين، ظهرت نسخة مطوّرة من SoundBill مدمجًا بداخلها Mimikatz لتحقيق نفس الأهداف. كما تم رصد محاولات لاستخدام أداة FScan لفحص المنافذ المفتوحة، بالإضافة إلى تعديل سجل نظام ويندوز لتعطيل ميزة التحكم في حساب المستخدم (UAC) وتفعيل تخزين كلمات المرور بنص واضح.
مؤشرات ارتباط بالصين وتهديدات موازية
أشار الباحثون إلى أن المهاجمين حدّدوا اللغة الصينية المبسطة كلغة العرض المفضلة في إعدادات عميل VPN، مما يعزز فرضية أن منفذي الهجمات يتحدثون الصينية بطلاقة.
بالتوازي مع ذلك، أعلنت شركة Intezer اكتشاف نسخة جديدة من باب خلفي يُسمى FireWood يُعتقد أنه مرتبط بمجموعة تهديد صينية أخرى تُعرف باسم Gelsemium. وقد سبق توثيق FireWood لأول مرة من قبل ESET في نوفمبر 2024، حيث يتميز بقدرته على استخدام وحدة kernel driver rootkit تُسمى usbdev.ko لإخفاء العمليات وتنفيذ أوامر يتم تلقيها من خادم يتحكم فيه المهاجمون.
