Ssylka

Как UAT-5918 угрожает критической инфраструктуре Тайваня?

Группа UAT-5918, действующая как продвинутая постоянная угроза (APT), ведёт атаки на ключевые объекты критической инфраструктуры Тайваня с 2023 года, что подтверждают исследования специалистов Cisco Talos.
Как UAT-5918 угрожает критической инфраструктуре Тайваня?
Изображение носит иллюстративный характер

Атаки группы направлены на установление долгосрочного доступа с целью кражи конфиденциальной информации. Использование веб-оболочек в сочетании с открытыми инструментами позволяет атакующим сохранять присутствие в целевых системах, систематически извлекая ценные данные.

Начальной точкой атаки становится эксплуатация устаревших уязвимостей (N-day) на непатченных веб- и прикладных серверах, доступных из интернета. Этот метод позволяет получить первоначальный доступ, после чего внедряются дополнительные инструменты для полного контроля над сетью.

Для организации обратных прокси-туннелей используются Fast Reverse Proxy (FRP) и Neo-reGeorge, что обеспечивает скрытый удалённый доступ к скомпрометированным системам. В процессе пост-компрометации применяются такие средства для кражи учетных данных, как Mimikatz, LaZagne и BrowserDataLite, а также веб-оболочка Chopper и инструменты Crowdoor и SparrowDoor, ранее связывавшиеся с группой Earth Estries.

Эффективное сочетание открытых инструментов позволяет проводить сканирование сети, сбор системной информации и перемещение внутри инфраструктуры. Дальнейшее расширение доступа осуществляется с использованием протоколов RDP, WMIC и вспомогательного средства Impact.

Целевая область атак охватывает не только объекты критической инфраструктуры, но и секторы информационных технологий, телекоммуникаций, академии и здравоохранения. Систематический анализ обнаруживает кражу данных с локальных и сетевых хранилищ, а также установку веб-оболочек на субдоменах и публично доступных серверах.

Наблюдения специалистов Cisco Talos свидетельствуют: «Деятельность, которую мы наблюдали, указывает на то, что действия после компрометации проводятся вручную с основным упором на кражу информации». Такой подход позволяет атакующим адаптироваться к контрмерам и сохранять скрытность в проникнутых сетях.

Анализ тактики UAT-5918 выявил пересечение с действиями ряда китайских хакерских групп, включая Volt Typhoon, Flax Typhoon, Tropic Trooper, Earth Estries и Dalbit. Исследования, выполненные Jungsoo An, Asheer Malhotra, Brandon White и Vitor Ventura из Cisco Talos, подтверждают высокий уровень координации и профессионализма в реализации данных атак.


Новое на сайте

15389Подземное таяние под фундаментом северной Америки 15388NASA показала астероид Doughaldjohanson с формой булавы 15387Запрет восьми искусственных красителей в продуктах США: план Роберта Кеннеди-младшего 15386Как зловредный Docker-модуль использует Teneo Web3 для добычи криптовалюты через... 15385Влияние плана 529 на размер финансовой помощи в вузах 15384Первое свидетельство социального потребления алкоголя среди шимпанзе 15383Возвращение беверли Найт на родную сцену Веллингтона 15382«Череп» Марса: неожиданная находка ровера Perseverance в кратере Джезеро 15381Внутренние угрозы безопасности: браузеры как слабое звено в корпоративной защите 15380Тайна столкновения в скоплении персея раскрыта 15379Уязвимость ConfusedComposer в GCP Cloud Composer открывает путь к эскалации привилегий 15378Как когнитивные тесты помогают воспитать послушного щенка 15377Почему астероид Дональджонсон удивляет геологов всей сложностью? 15376Почему забыть отравление едой невозможно? 15375Стальная гнездовая коробка на мосту: надежная защита для орланов и автомобилистов