Группа UAT-5918, действующая как продвинутая постоянная угроза (APT), ведёт атаки на ключевые объекты критической инфраструктуры Тайваня с 2023 года, что подтверждают исследования специалистов Cisco Talos.
Атаки группы направлены на установление долгосрочного доступа с целью кражи конфиденциальной информации. Использование веб-оболочек в сочетании с открытыми инструментами позволяет атакующим сохранять присутствие в целевых системах, систематически извлекая ценные данные.
Начальной точкой атаки становится эксплуатация устаревших уязвимостей (N-day) на непатченных веб- и прикладных серверах, доступных из интернета. Этот метод позволяет получить первоначальный доступ, после чего внедряются дополнительные инструменты для полного контроля над сетью.
Для организации обратных прокси-туннелей используются Fast Reverse Proxy (FRP) и Neo-reGeorge, что обеспечивает скрытый удалённый доступ к скомпрометированным системам. В процессе пост-компрометации применяются такие средства для кражи учетных данных, как Mimikatz, LaZagne и BrowserDataLite, а также веб-оболочка Chopper и инструменты Crowdoor и SparrowDoor, ранее связывавшиеся с группой Earth Estries.
Эффективное сочетание открытых инструментов позволяет проводить сканирование сети, сбор системной информации и перемещение внутри инфраструктуры. Дальнейшее расширение доступа осуществляется с использованием протоколов RDP, WMIC и вспомогательного средства Impact.
Целевая область атак охватывает не только объекты критической инфраструктуры, но и секторы информационных технологий, телекоммуникаций, академии и здравоохранения. Систематический анализ обнаруживает кражу данных с локальных и сетевых хранилищ, а также установку веб-оболочек на субдоменах и публично доступных серверах.
Наблюдения специалистов Cisco Talos свидетельствуют: «Деятельность, которую мы наблюдали, указывает на то, что действия после компрометации проводятся вручную с основным упором на кражу информации». Такой подход позволяет атакующим адаптироваться к контрмерам и сохранять скрытность в проникнутых сетях.
Анализ тактики UAT-5918 выявил пересечение с действиями ряда китайских хакерских групп, включая Volt Typhoon, Flax Typhoon, Tropic Trooper, Earth Estries и Dalbit. Исследования, выполненные Jungsoo An, Asheer Malhotra, Brandon White и Vitor Ventura из Cisco Talos, подтверждают высокий уровень координации и профессионализма в реализации данных атак.
Изображение носит иллюстративный характер
Атаки группы направлены на установление долгосрочного доступа с целью кражи конфиденциальной информации. Использование веб-оболочек в сочетании с открытыми инструментами позволяет атакующим сохранять присутствие в целевых системах, систематически извлекая ценные данные.
Начальной точкой атаки становится эксплуатация устаревших уязвимостей (N-day) на непатченных веб- и прикладных серверах, доступных из интернета. Этот метод позволяет получить первоначальный доступ, после чего внедряются дополнительные инструменты для полного контроля над сетью.
Для организации обратных прокси-туннелей используются Fast Reverse Proxy (FRP) и Neo-reGeorge, что обеспечивает скрытый удалённый доступ к скомпрометированным системам. В процессе пост-компрометации применяются такие средства для кражи учетных данных, как Mimikatz, LaZagne и BrowserDataLite, а также веб-оболочка Chopper и инструменты Crowdoor и SparrowDoor, ранее связывавшиеся с группой Earth Estries.
Эффективное сочетание открытых инструментов позволяет проводить сканирование сети, сбор системной информации и перемещение внутри инфраструктуры. Дальнейшее расширение доступа осуществляется с использованием протоколов RDP, WMIC и вспомогательного средства Impact.
Целевая область атак охватывает не только объекты критической инфраструктуры, но и секторы информационных технологий, телекоммуникаций, академии и здравоохранения. Систематический анализ обнаруживает кражу данных с локальных и сетевых хранилищ, а также установку веб-оболочек на субдоменах и публично доступных серверах.
Наблюдения специалистов Cisco Talos свидетельствуют: «Деятельность, которую мы наблюдали, указывает на то, что действия после компрометации проводятся вручную с основным упором на кражу информации». Такой подход позволяет атакующим адаптироваться к контрмерам и сохранять скрытность в проникнутых сетях.
Анализ тактики UAT-5918 выявил пересечение с действиями ряда китайских хакерских групп, включая Volt Typhoon, Flax Typhoon, Tropic Trooper, Earth Estries и Dalbit. Исследования, выполненные Jungsoo An, Asheer Malhotra, Brandon White и Vitor Ventura из Cisco Talos, подтверждают высокий уровень координации и профессионализма в реализации данных атак.
