一個新發現的中文駭客組織,追蹤編號為 UAT-7237,被發現針對網站託管和 VPN 根據 Asheer Malhotra、Brandon White 和 Vitor Ventura 的 Cisco Talos 研究,台灣的基礎設施。
這次攻擊活動凸顯了網站託管服務仍然是受政府支持的攻擊者的高價值目標。對於主機購買者來說,這起事件提醒他們,伺服器位置、修補程式安裝情況和安全措施會直接影響網站的安全性。
發生了什麼?
思科 Talos 的研究人員發現,UAT-7237 至少自 2022 年以來一直活躍。該組織被認為是中國大型 APT 集群 UAT-5918 的一個分支。與那些以搶劫為主要手段的勒索軟體組織不同,該活動專注於對託管系統進行長期、隱密的存取。
攻擊者不尋求快速的金錢利益,而是尋求控制 VPN 以及雲端基礎設施,這些資產可以讓他們持續存取敏感通訊和資料。
他們是如何闖入的?
攻擊者透過利用未打補丁、暴露在網路上的伺服器獲得了初始存取權限。進入伺服器後,他們部署了一個名為「SoundBill」的自訂工具,該工具會載入更多有效載荷,例如用於遠端控制的 Cobalt Strike,以及 Mimikatz 等憑證竊取程式。
他們也依賴:
- 權限提升工具(JuicyPotato)
- Windows 管理公用程式(SharpWMI、WMICmd)
- VPN 客戶端和 RDP 存取以實現持久性
- 憑證收集技術,例如 LSASS 轉儲
攻擊者並沒有立即刪除 Web Shell,而是安裝了 SoftEther VPN 客戶端(中文配置),允許它們橫向移動並保持長期存在而不會引起警報。
進一步閱讀本研究 思科 Talos 博客;本研究的 IOC 也可以在這裡找到 GitHub存儲庫.
為什麼這對託管買家很重要?
對於選擇主機的企業和開發者來說,這事件凸顯了三個現實:
補丁管理至關重要
攻擊者利用的是過時的系統。可靠的網站寄存服務商應該快速更新軟體,避免讓客戶暴露於已知漏洞。
安全是正常運作時間的一部分
我們經常談論正常運行時間保證,但伺服器被入侵的破壞力可能與宕機一樣大。如果您的託管服務提供者未能保障其基礎設施的安全,您的網站可能會在更大規模的間諜活動中成為附帶損害。
託管安全值得考慮
共享主機通常提供有限的隔離。 VPS 或主機 WordPress 託管通常提供更強大的安全層,包括容器隔離、專用防火牆或惡意軟體監控,以降低同一伺服器上鄰居的風險。
託管用戶的教訓
- 選擇支援主動修補的主機。 詢問他們部署安全性更新的速度有多快。
- 尋找提供惡意軟體掃描、入侵偵測或 DDoS 保護。
- 如果運行敏感工作負載,請考慮 VPS 託管或專用託管,從而隔離資源並降低橫向移動的風險。
- 監控您自己的帳戶活動。 即使您的主機管理安全,您仍然應該注意不尋常的登入嘗試或新進程。
最後的思考
像 UAT-7237 這樣的網路間諜活動提醒我們,網路託管基礎設施是商業營運和全球安全利益的核心。雖然這次活動的目標是 台灣供應商,技術(利用過時的伺服器,安裝 VPN 攻擊(例如後門、收集憑證)不受地域限制。
對於網站所有者來說,教訓很簡單: 選擇重視安全性的主機.
無論您經營的是電子商務商店、會員平台或商業網站,主機的修補速度和安全態勢都會直接影響您的風險敞口。
與往常一樣,我們建議在審查託管選項時同時考慮效能和安全性。
