I cacciatori di minacce hanno scoperto un nuovo attore di minaccia di nome UAT-5918 che ha attaccato le entità di infrastrutture critiche a Taiwan da almeno il 2023.
“UAT-5918, un attore di minaccia che si ritiene sia motivato dall’istituzione dell’accesso a lungo termine per il furto di informazioni, utilizza una combinazione di conchiglie Internet e strumenti di provenienza aperta per condurre attività post-compromessi per stabilire la persistenza in ambienti di vittima per la raccolta delle credenziali” disse.
Oltre alle infrastrutture critiche, alcuni degli altri verticali mirati includono tecnologia dell’informazione, telecomunicazioni, accademia e assistenza sanitaria.
Valutato per essere un gruppo avanzato di minaccia persistente (APT) che cerca di stabilire un accesso persistente a lungo termine negli ambienti delle vittime, si cube Volt Storm, Storm di lino, Tropic Trooper, Earth estriesE Dalbit.
Le catene di attacco orchestrate dal gruppo prevedono l’ottenimento dell’accesso iniziale sfruttando i difetti di sicurezza N-Day in server Internet e applicazioni non patgati esposti a Web. Il punto d’appoggio viene quindi utilizzato per abbandonare diversi strumenti open supply per condurre ricognizione di rete, raccolta di informazioni sul sistema e movimento laterale.
Il ferita post-sfruttamento post-sfruttamento di UAT-5918 prevede l’uso del proxy inverso rapido (FRP) e Neo-Regeorge per impostare tunnel proxy inversi per accedere agli endpoint compromessi tramite host remoti controllati dagli attaccanti.
L’attore delle minacce ha anche sfruttato strumenti come Mimikatz, Lazagne e un estrattore a base di browser soprannominato browserdalite per raccogliere credenziali per scavare ulteriormente in profondità nell’ambiente goal tramite RDP, WMIC o Impression. Sono anche utilizzati Chopper Internet Shell, Crowder e Sparrowdoor, gli ultimi due dei quali sono stati precedentemente utilizzati da un altro gruppo di minacce chiamato Earth Estries.
BrowserDalite, in particolare, è progettato per bloccare le informazioni di accesso, i cookie e la cronologia di navigazione dai browser Internet. L’attore di minaccia si impegna anche nel furto di dati sistematici elencando unità locali e condivise per trovare i dati di interesse.
“L’attività che abbiamo monitorato suggerisce che l’attività post-compromesso viene svolta manualmente con l’obiettivo principale che è il furto di informazioni”, hanno affermato i ricercatori. “Evidentemente, embody anche la distribuzione di shell Internet su tutti i sotto-domini scoperti e i server accessibili a Web per aprire più punti di accesso alle organizzazioni delle vittime.”
