Недавно выявленная китайскоязычная хакерская группа, известная как UAT-7237, была поймана на веб-хостинге и VPN инфраструктура Тайваня, согласно исследованию Cisco Talos, проведенному Эширом Малхотрой, Брэндоном Уайтом и Витором Вентурой.
Кампания подчеркивает, что услуги веб-хостинга остаются привлекательной целью для злоумышленников, поддерживаемых государством. Для покупателей хостинга этот инцидент служит напоминанием о том, что местоположение сервера, установка исправлений и меры безопасности на вашем хостинге могут напрямую влиять на безопасность вашего сайта.
Что случилось?
Исследователи Cisco Talos обнаружили, что группа UAT-7237 активна как минимум с 2022 года. Считается, что эта группа является подгруппой более крупного китайского APT-кластера, известного как UAT-5918. В отличие от группировок, занимающихся хакерскими атаками и захватом, эта кампания ориентирована на долгосрочный скрытый доступ к системам хостинга.
Вместо быстрой денежной выгоды злоумышленники стремятся контролировать VPN и облачная инфраструктура — активы, которые могут обеспечить им постоянный доступ к конфиденциальным сообщениям и данным.
Как они проникли?
Злоумышленники получили первоначальный доступ, эксплуатируя незащищённые серверы, доступные через интернет. Оказавшись на сервере, они внедрили специальный инструмент под названием «SoundBill», который загружает дополнительные полезные нагрузки, такие как Cobalt Strike для удалённого управления, и программы для кражи учётных данных, такие как Mimikatz.
Они также полагались на:
- Инструменты повышения привилегий (JuicyPotato)
- Утилиты управления Windows (SharpWMI, WMICmd)
- VPN клиенты и RDP-доступ для сохранения
- Методы сбора учетных данных, такие как сброс LSASS
Вместо того, чтобы немедленно сбросить веб-шеллы, злоумышленники установили SoftEther VPN клиенты (настроенные на китайском языке), что позволяет им перемещаться горизонтально и поддерживать долгосрочное присутствие, не поднимая тревогу.
Дальнейшее чтение этого исследования Блог Cisco Talos; МОК для этого исследования также можно найти здесь Репозиторий GitHub.
Почему это важно для покупателей хостинга?
Для компаний и разработчиков, выбирающих хостинг, этот инцидент подчеркивает три реалии:
Управление исправлениями имеет решающее значение
Злоумышленники использовали устаревшие системы. Надёжный хостинг должен быстро обновлять программное обеспечение, а не подвергать клиентов риску известных уязвимостей.
Безопасность — часть бесперебойной работы
Мы часто говорим о гарантиях бесперебойной работы, но взлом сервера может быть столь же опасен, как и простое отключение. Если ваш хостинг-провайдер не обеспечивает безопасность своей инфраструктуры, ваш сайт может стать сопутствующим ущербом в ходе масштабной шпионской кампании.
Управляемая безопасность заслуживает внимания
Виртуальный хостинг часто обеспечивает ограниченную изоляцию. VPS или управляемый WordPress Хостинг обычно предлагает более надежные уровни безопасности, включая изоляцию контейнеров, выделенные брандмауэры или мониторинг вредоносных программ, которые снижают риски от соседей на том же сервере.
Уроки для пользователей хостинга
- Выберите хост, который поддерживает проактивное исправление. Спросите, как быстро они внедряют обновления безопасности.
- Ищите поставщиков, которые включают сканирование на наличие вредоносных программ, обнаружение вторжений или DDoS защита.
- Если вы используете важные рабочие нагрузки, рассмотрите вариант VPS-хостинга или выделенного хостинга., которые изолируют ресурсы и снижают риск бокового перемещения.
- Контролируйте активность своего аккаунта. Даже если ваш хостер обеспечивает безопасность, вам все равно следует следить за необычными попытками входа в систему или новыми процессами.
Заключение
Кампании кибершпионажа, подобные UAT-7237, напоминают нам, что инфраструктура веб-хостинга находится в центре как бизнес-операций, так и интересов глобальной безопасности. Хотя эта кампания была направлена Тайваньские провайдеры, методы (использование устаревших серверов, установка VPN бэкдоры, сбор учетных данных) не ограничены географией.
Для владельцев веб-сайтов урок прост: Выбирайте хостинг, который серьезно относится к безопасности.
Независимо от того, управляете ли вы интернет-магазином, платформой с платным доступом или корпоративным сайтом, скорость установки исправлений и уровень безопасности вашего хостера напрямую влияют на степень вашей подверженности риску.
Как всегда, мы рекомендуем рассматривать варианты хостинга с учетом производительности и безопасности.
