导 读
Cisco Talos 发现 UAT-5918 自 2023 年起活跃,使用 Web shell 和开源工具进行持久性、信息窃取和凭证收集。
APT UAT-5918 针对敏感地区目标,利用服务器中的 N-day 漏洞进行长期访问。该组织手动进行入侵后活动,使用开源工具进行侦察、凭证窃取和持久化。
他们在子域中部署 Web Shell,创建管理员帐户,并利用Mimikatz、快速反向代理 ( FRP ) 和 Impacket 等工具通过 RDP 和 PowerShell 远程进行横向移动,确保受害者网络有多个入口点。
Talos 发布的报告指出: “UAT-5918 的工具和 TTP 与Volt Typhoon有大量重叠,例如使用 ping 和 In-Swor 等工具进行网络发现;收集驱动器和分区等系统信息;收集名称、ID、大小和可用空间等逻辑驱动器信息;从 Web 浏览器应用程序中转储凭证;使用 frp 、 Earthworm 和Impacket 等开源工具建立控制通道;并且没有定制的恶意软件。”
UAT-5918 与Tropic Trooper 、Earth Estries 和 Dalbit共享工具和战术,使用 FRP、FScan、Impacket 和 Web Shell 等工具。
研究人员观察到重叠部分包括 Crowdoor Loader 和 SparrowDoor 恶意软件。UAT-5918 还使用了 LaZagne、SNetCracker 和 PortBrute 等独特工具,这些工具尚未公开与其他团体相关联。
攻击者使用 FRP 和 Neo-reGeorge 建立反向代理隧道,以通过攻击者控制的远程主机维持对受感染端点的访问。研究人员注意到,工具通常以存档形式下载并在执行前提取。
UAT-5918主要针对敏感目标的电信、医疗保健、IT和关键基础设施领域。
UAT-5918 通过在系统目录深处部署 ASP 和 PHP Web Shell 并使用 JuicyPotato 进行权限提升来保持持久访问。
创建后门管理员帐户并通过 Mimikatz、LaZagne 和注册表转储窃取凭据。该组织使用 RDP、Impacket 和 SNETCracker 等暴力破解工具在网络内进行攻击。使用 SQLCMD 存储和窃取数据,包括机密文件和数据库备份。威胁组织的策略是确保受感染目标的数据被窃取后可以长期访问。
技术报告:
https://blog.talosintelligence.com/uat-5918-targets-critical-infra-in-taiwan/
新闻链接:
https://securityaffairs.com/175728/hacking/uat-5918-atp-group-targets-critical-taiwan.html
原文始发于微信公众号(军哥网络安全读报):Cisco Talos 报告UAT-5918 ATP 组织的最新活动
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论