【資安警報】中國駭客組織 UAT-7237 鎖定台灣網頁伺服器，揭露持續滲透手法

作者：Ravie Lakshmanan ｜ 編譯：AIShield 編輯部 ｜ 發稿日期：2025 年 8 月 22 日

UAT-7237 鎖定台灣網頁伺服器

近期，思科 Cisco Talos 資安團隊觀察到一個具中文背景的進階持續性威脅（APT）駭客組織，正鎖定台灣的網站基礎設施發動攻擊。其目標是在高價值受害環境中，建立長期且隱蔽的存取管道。

此駭客集群被思科 Cisco Talos 追蹤為 UAT-7237，活動最早可追溯至 2022 年。據研判，UAT-7237 可能是 UAT-5918 的一個分支，而後者早在 2023 年就已知鎖定台灣的關鍵基礎設施發動攻擊。

思科 Cisco Talos 指出：「UAT-7237 最近入侵台灣的網站基礎設施，大量仰賴經過一定程度客製化的開源工具，很可能是為了躲避偵測，並在受害企業內部進行惡意活動。」

攻擊手法與特徵

UAT-7237 的攻擊有幾個鮮明特徵：

• 客製化載入器： 攻擊者使用一個被稱為 SoundBill 的特製 Shellcode 載入器，其功能是解碼並啟動第二階段惡意酬載，例如駭客濫用的滲透測試工具 Cobalt Strike。

  
  

• 持續性存取： 有別於 UAT-5918 在初期入侵後會立即部署網頁後門，UAT-7237 的手法顯然不同。他們利用 SoftEther VPN 客戶端（類似 Flax Typhoon 組織的手法）來維持長期存取，隨後透過遠端桌面協定（RDP）進入受害系統。

  
  

• 橫向移動與權限提升： 一旦成功入侵，駭客便橫向移動至企業內部其他系統，擴大攻擊範圍並執行惡意活動，例如部署基於 VTHello 的 SoundBill 載入器以啟動 Cobalt Strike。他們也會在受害主機上部署 JuicyPotato 和 Mimikatz 等工具，以進行權限提升和憑證竊取。一個值得關注的轉折是，後續攻擊利用了更新版的 SoundBill，並將 Mimikatz 嵌入其中以達到相同目的。

此外，研究人員觀察到 UAT-7237 嘗試修改 Windows 登錄檔來停用使用者帳戶控制（UAC），並開啟明文密碼儲存功能。思科 Cisco Talos 也發現，駭客在其 SoftEther VPN 客戶端的語言設定中，將首選顯示語言設為「簡體中文」，進一步證實攻擊者具備流利的中文能力。

延伸威脅：FireWood 後門新變種現蹤

就在此揭露之際，Intezer 資安公司也表示，他們發現一個名為 FireWood 的後門程式新變種。儘管信心度不高，此變種與一個被認為是中國官方背景的駭客組織 Gelsemium 有關。

FireWood 最早由 ESET 在 2024 年 11 月揭露，其能力是利用一個名為 usbdev.ko 的核心驅動程式 Rootkit 模組來隱藏程序，並執行來自攻擊者控制伺服器的指令。

Intezer 研究員 Nicole Fishbein 指出：「雖然後門的核心功能沒有改變，但我們注意到其在實作和配置上有部分變動。由於我們無法取得其核心模組，因此不確定它是否也一併更新了。」

在 APT 攻擊持續升溫的情況下，台灣企業必須強化防禦措施，從漏洞管理、存取控制到資安監控 都不可或缺。

👉 想了解如何在第一時間阻擋類似攻擊？立即聯繫我們的資安顧問團隊，獲取 免費風險評估與防護建議。

本文翻譯自 The Hacker News 原文：" Taiwan Web Servers Breached by UAT-7237 Using Customized Open-Source Hacking Tools"

發佈日期：2025 年 8 月 15 日

原文連結：The Hacker News 文章