Cisco Talos 报告UAT-5918 ATP 组织的最新活动

Cisco Talos 发现 UAT-5918 自 2023 年起活跃，使用 Web shell 和开源工具进行持久性、信息窃取和凭证收集。

APT UAT-5918 针对敏感地区目标，利用服务器中的 N-day 漏洞进行长期访问。该组织手动进行入侵后活动，使用开源工具进行侦察、凭证窃取和持久化。

他们在子域中部署 Web Shell，创建管理员帐户，并利用Mimikatz、快速反向代理 ( FRP ) 和 Impacket 等工具通过 RDP 和 PowerShell 远程进行横向移动，确保受害者网络有多个入口点。

Talos 发布的报告指出： “UAT-5918 的工具和 TTP 与Volt Typhoon有大量重叠，例如使用 ping 和 In-Swor 等工具进行网络发现；收集驱动器和分区等系统信息；收集名称、ID、大小和可用空间等逻辑驱动器信息；从 Web 浏览器应用程序中转储凭证；使用 frp 、 Earthworm 和Impacket 等开源工具建立控制通道；并且没有定制的恶意软件。”

UAT-5918 与Tropic Trooper 、Earth Estries 和 Dalbit共享工具和战术，使用 FRP、FScan、Impacket 和 Web Shell 等工具。

研究人员观察到重叠部分包括 Crowdoor Loader 和 SparrowDoor 恶意软件。UAT-5918 还使用了 LaZagne、SNetCracker 和 PortBrute 等独特工具，这些工具尚未公开与其他团体相关联。

攻击者使用 FRP 和 Neo-reGeorge 建立反向代理隧道，以通过攻击者控制的远程主机维持对受感染端点的访问。研究人员注意到，工具通常以存档形式下载并在执行前提取。

UAT-5918主要针对敏感目标的电信、医疗保健、IT和关键基础设施领域。

UAT-5918 通过在系统目录深处部署 ASP 和 PHP Web Shell 并使用 JuicyPotato 进行权限提升来保持持久访问。

创建后门管理员帐户并通过 Mimikatz、LaZagne 和注册表转储窃取凭据。该组织使用 RDP、Impacket 和 SNETCracker 等暴力破解工具在网络内进行攻击。使用 SQLCMD 存储和窃取数据，包括机密文件和数据库备份。威胁组织的策略是确保受感染目标的数据被窃取后可以长期访问。

技术报告：

https://blog.talosintelligence.com/uat-5918-targets-critical-infra-in-taiwan/

新闻链接：

https://securityaffairs.com/175728/hacking/uat-5918-atp-group-targets-critical-taiwan.html