Ssylka

Как UAT-5918 угрожает критической инфраструктуре Тайваня?

Группа UAT-5918, действующая как продвинутая постоянная угроза (APT), ведёт атаки на ключевые объекты критической инфраструктуры Тайваня с 2023 года, что подтверждают исследования специалистов Cisco Talos.
Как UAT-5918 угрожает критической инфраструктуре Тайваня?
Изображение носит иллюстративный характер

Атаки группы направлены на установление долгосрочного доступа с целью кражи конфиденциальной информации. Использование веб-оболочек в сочетании с открытыми инструментами позволяет атакующим сохранять присутствие в целевых системах, систематически извлекая ценные данные.

Начальной точкой атаки становится эксплуатация устаревших уязвимостей (N-day) на непатченных веб- и прикладных серверах, доступных из интернета. Этот метод позволяет получить первоначальный доступ, после чего внедряются дополнительные инструменты для полного контроля над сетью.

Для организации обратных прокси-туннелей используются Fast Reverse Proxy (FRP) и Neo-reGeorge, что обеспечивает скрытый удалённый доступ к скомпрометированным системам. В процессе пост-компрометации применяются такие средства для кражи учетных данных, как Mimikatz, LaZagne и BrowserDataLite, а также веб-оболочка Chopper и инструменты Crowdoor и SparrowDoor, ранее связывавшиеся с группой Earth Estries.

Эффективное сочетание открытых инструментов позволяет проводить сканирование сети, сбор системной информации и перемещение внутри инфраструктуры. Дальнейшее расширение доступа осуществляется с использованием протоколов RDP, WMIC и вспомогательного средства Impact.

Целевая область атак охватывает не только объекты критической инфраструктуры, но и секторы информационных технологий, телекоммуникаций, академии и здравоохранения. Систематический анализ обнаруживает кражу данных с локальных и сетевых хранилищ, а также установку веб-оболочек на субдоменах и публично доступных серверах.

Наблюдения специалистов Cisco Talos свидетельствуют: «Деятельность, которую мы наблюдали, указывает на то, что действия после компрометации проводятся вручную с основным упором на кражу информации». Такой подход позволяет атакующим адаптироваться к контрмерам и сохранять скрытность в проникнутых сетях.

Анализ тактики UAT-5918 выявил пересечение с действиями ряда китайских хакерских групп, включая Volt Typhoon, Flax Typhoon, Tropic Trooper, Earth Estries и Dalbit. Исследования, выполненные Jungsoo An, Asheer Malhotra, Brandon White и Vitor Ventura из Cisco Talos, подтверждают высокий уровень координации и профессионализма в реализации данных атак.


Новое на сайте

15764Как китайские хакеры используют критическую уязвимость SAP для массовых кибератак? 15763Как проходит мировой чемпионат по аэротрубному спорту? 15762Живая изгородь: экологичная альтернатива традиционным ограждениям 15761От рыночного торговца до аристократа: Джеймс Бай сменил Мартина Фаулера на мистера дарси 15760Как генетическая мутация SIK3-N783Y позволяет людям полноценно функционировать всего на 4... 15759Масштабная криптовалютная афера: более 38 000 поддоменов FreeDrain охотятся за кошельками... 15758Автомобиль форд 1940-х годов обнаружен на затонувшем американском авианосце времен второй... 15757Как растения научились имитировать запах смерти для привлечения опылителей? 15756Эволюционный трюк: как растения научились пахнуть гниющей плотью 15755Как хакеры используют уязвимости SonicWall SMA 100 для полного захвата устройств? 15754Воздушная охота на инвазивных баранов: Техас готовит новый закон 15753Почему рак у людей до 50 лет становится всё более распространённым явлением? 15752Почему упавшие на бок яйца реже трескаются: неожиданное открытие ученых? 15751Революция визуального ИИ: Copilot Vision в Microsoft Edge становится бесплатным для всех... 15750Как 109-летняя компания использует заботу о психическом здоровье для привлечения...