Cisco Talos 报告UAT-5918 ATP 组织的最新活动

admin 2025年3月24日10:42:48评论15 views字数 1156阅读3分51秒阅读模式

导 

Cisco Talos 发现 UAT-5918 自 2023 年起活跃,使用 Web shell 和开源工具进行持久性、信息窃取和凭证收集。

Cisco Talos 报告UAT-5918 ATP 组织的最新活动

APT UAT-5918 针对敏感地区目标,利用服务器中的 N-day 漏洞进行长期访问。该组织手动进行入侵后活动,使用开源工具进行侦察、凭证窃取和持久化。

他们在子域中部署 Web Shell,创建管理员帐户,并利用Mimikatz、快速反向代理 ( FRP ) 和 Impacket 等工具通过 RDP 和 PowerShell 远程进行横向移动,确保受害者网络有多个入口点。

Talos 发布的报告指出: “UAT-5918 的工具和 TTP 与Volt Typhoon有大量重叠,例如使用 ping 和 In-Swor 等工具进行网络发现;收集驱动器和分区等系统信息;收集名称、ID、大小和可用空间等逻辑驱动器信息;从 Web 浏览器应用程序中转储凭证;使用 frp 、 Earthworm 和Impacket 等开源工具建立控制通道;并且没有定制的恶意软件。”

UAT-5918 与Tropic Trooper 、Earth Estries 和 Dalbit共享工具和战术,使用 FRP、FScan、Impacket 和 Web Shell 等工具。

研究人员观察到重叠部分包括 Crowdoor Loader 和 SparrowDoor 恶意软件。UAT-5918 还使用了 LaZagne、SNetCracker 和 PortBrute 等独特工具,这些工具尚未公开与其他团体相关联。

攻击者使用 FRP 和 Neo-reGeorge 建立反向代理隧道,以通过攻击者控制的远程主机维持对受感染端点的访问。研究人员注意到,工具通常以存档形式下载并在执行前提取。

Cisco Talos 报告UAT-5918 ATP 组织的最新活动

UAT-5918主要针对敏感目标的电信、医疗保健、IT和关键基础设施领域。

UAT-5918 通过在系统目录深处部署 ASP 和 PHP Web Shell 并使用 JuicyPotato 进行权限提升来保持持久访问。

创建后门管理员帐户并通过 Mimikatz、LaZagne 和注册表转储窃取凭据。该组织使用 RDP、Impacket 和 SNETCracker 等暴力破解工具在网络内进行攻击。使用 SQLCMD 存储和窃取数据,包括机密文件和数据库备份。威胁组织的策略是确保受感染目标的数据被窃取后可以长期访问。

技术报告:

https://blog.talosintelligence.com/uat-5918-targets-critical-infra-in-taiwan/

新闻链接:

https://securityaffairs.com/175728/hacking/uat-5918-atp-group-targets-critical-taiwan.html

Cisco Talos 报告UAT-5918 ATP 组织的最新活动

原文始发于微信公众号(军哥网络安全读报):Cisco Talos 报告UAT-5918 ATP 组织的最新活动

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月24日10:42:48
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Cisco Talos 报告UAT-5918 ATP 组织的最新活动https://cn-sec.com/archives/3877363.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息