Как UAT-5918 угрожает критической инфраструктуре Тайваня?

Группа UAT-5918, действующая как продвинутая постоянная угроза (APT), ведёт атаки на ключевые объекты критической инфраструктуры Тайваня с 2023 года, что подтверждают исследования специалистов Cisco Talos.
Как UAT-5918 угрожает критической инфраструктуре Тайваня?
Изображение носит иллюстративный характер

Атаки группы направлены на установление долгосрочного доступа с целью кражи конфиденциальной информации. Использование веб-оболочек в сочетании с открытыми инструментами позволяет атакующим сохранять присутствие в целевых системах, систематически извлекая ценные данные.

Начальной точкой атаки становится эксплуатация устаревших уязвимостей (N-day) на непатченных веб- и прикладных серверах, доступных из интернета. Этот метод позволяет получить первоначальный доступ, после чего внедряются дополнительные инструменты для полного контроля над сетью.

Для организации обратных прокси-туннелей используются Fast Reverse Proxy (FRP) и Neo-reGeorge, что обеспечивает скрытый удалённый доступ к скомпрометированным системам. В процессе пост-компрометации применяются такие средства для кражи учетных данных, как Mimikatz, LaZagne и BrowserDataLite, а также веб-оболочка Chopper и инструменты Crowdoor и SparrowDoor, ранее связывавшиеся с группой Earth Estries.

Эффективное сочетание открытых инструментов позволяет проводить сканирование сети, сбор системной информации и перемещение внутри инфраструктуры. Дальнейшее расширение доступа осуществляется с использованием протоколов RDP, WMIC и вспомогательного средства Impact.

Целевая область атак охватывает не только объекты критической инфраструктуры, но и секторы информационных технологий, телекоммуникаций, академии и здравоохранения. Систематический анализ обнаруживает кражу данных с локальных и сетевых хранилищ, а также установку веб-оболочек на субдоменах и публично доступных серверах.

Наблюдения специалистов Cisco Talos свидетельствуют: «Деятельность, которую мы наблюдали, указывает на то, что действия после компрометации проводятся вручную с основным упором на кражу информации». Такой подход позволяет атакующим адаптироваться к контрмерам и сохранять скрытность в проникнутых сетях.

Анализ тактики UAT-5918 выявил пересечение с действиями ряда китайских хакерских групп, включая Volt Typhoon, Flax Typhoon, Tropic Trooper, Earth Estries и Dalbit. Исследования, выполненные Jungsoo An, Asheer Malhotra, Brandon White и Vitor Ventura из Cisco Talos, подтверждают высокий уровень координации и профессионализма в реализации данных атак.


Новое на сайте

20276Как один npm-пакет для защиты кода сам стал источником заражения? 20275Может ли обычное письмо взломать вашу почту в Zimbra? 20274Зачем сразу несколько разведок взломали портал полиции Белуджистана? 20273Кошельки, которые «родились слабыми»: как уязвимость Ill Bloom стоила криптовладельцам... 20272Как мошенники используют фальшивую регистрацию passkey, чтобы захватить чужой Microsoft... 20271Как безобидный установщик 7-Zip превращает компьютер в чужой прокси-сервер? 20270Термометр, а не трофей: зачем всем вдруг понадобились базы уязвимостей 20269Почему кнопка «разрешить» в AI-редакторах кода может обмануть даже опытного разработчика? 20268Как китайская группировка Silver Fox превратила инструмент против цензуры в оружие для... 20266Почему физик из Лондона получил один из самых престижных призов в науке за измерение... 20265Сколько времени нужно хакеру, чтобы взломать вашу сеть — и успеете ли вы это заметить? 20264Как ИИ-агент, который должен ловить вирусы, сам стал вирусом 20263Переговорщик по выкупам работал на тех самых хакеров, от которых должен был защищать... 20262Дыра в Defender: как гонка процессов открывала путь к правам SYSTEM, а заплатка принесла...
Ссылка