Caçadores de ameaças identificaram um novo ator de ameaça denominado UAT-5918, que vem atacando entidades de infraestrutura crítica em Taiwan desde pelo menos 2023.
"Acredita-se que o UAT-5918, um ator de ameaça motivado por estabelecer acesso de longo prazo para o roubo de informações, utilize uma combinação de web shells e ferramentas open-source para conduzir atividades pós-comprometimento para estabelecer persistência nos ambientes das vítimas para roubo de informações e coleta de credenciais", disseram os pesquisadores da Cisco Talos, Jungsoo An, Asheer Malhotra, Brandon White e Vitor Ventura.
Além de infraestruturas críticas, alguns dos outros setores visados incluem tecnologia da informação, telecomunicações, academia e saúde.
Avaliado como um grupo de Advanced Persistent Threat (APT) buscando estabelecer acesso persistente de longo prazo nos ambientes das vítimas, diz-se que o UAT-5918 compartilha sobreposições táticas com várias equipes de hackers chinesas rastreadas como Volt Typhoon, Flax Typhoon, Tropic Trooper, Earth Estries e Dalbit.
As cadeias de ataques orquestradas pelo grupo envolvem obter acesso inicial explorando falhas de segurança do tipo N-day em servidores web e de aplicativos não corrigidos expostos à internet.
O ponto de apoio é então utilizado para implementar várias ferramentas open-source para conduzir reconhecimento de rede, coleta de informações do sistema e movimento lateral.
A tradecraft de pós-exploração do UAT-5918 envolve o uso de Fast Reverse Proxy (FRP) e Neo-reGeorge para configurar túneis de *reverse proxy* para acessar pontos finais comprometidos via hosts remotos controlados pelo atacante.
O ator de ameaça também tem utilizado ferramentas como Mimikatz, LaZagne e um extrator baseado em navegador denominado BrowserDataLite para colher credenciais e penetrar ainda mais profundamente no ambiente-alvo via RDP, WMIC ou Impact.
Também são utilizados Chopper web shell, Crowdoor e SparrowDoor, sendo que os dois últimos já foram utilizados por outro grupo de ameaças chamado Earth Estries.
O BrowserDataLite, em particular, é projetado para furtar informações de login, cookies e histórico de navegação dos navegadores web.
O ator de ameaça também se envolve em roubo sistemático de dados ao enumerar drives locais e compartilhados para encontrar dados de interesse.
"A atividade que monitoramos sugere que a atividade pós-compromisso é feita manualmente com o principal objetivo sendo o roubo de informações", disseram os pesquisadores.
Evidentemente, isso também inclui a implementação de web shells em quaisquer subdomínios descobertos e servidores acessíveis pela internet para abrir múltiplos pontos de entrada para as organizações vítimas.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...