Ataque contra Infraestrutura em Taiwan
24 de Março de 2025

Caçadores de ameaças identificaram um novo ator de ameaça denominado UAT-5918, que vem atacando entidades de infraestrutura crítica em Taiwan desde pelo menos 2023.

"Acredita-se que o UAT-5918, um ator de ameaça motivado por estabelecer acesso de longo prazo para o roubo de informações, utilize uma combinação de web shells e ferramentas open-source para conduzir atividades pós-comprometimento para estabelecer persistência nos ambientes das vítimas para roubo de informações e coleta de credenciais", disseram os pesquisadores da Cisco Talos, Jungsoo An, Asheer Malhotra, Brandon White e Vitor Ventura.

Além de infraestruturas críticas, alguns dos outros setores visados incluem tecnologia da informação, telecomunicações, academia e saúde.

Avaliado como um grupo de Advanced Persistent Threat (APT) buscando estabelecer acesso persistente de longo prazo nos ambientes das vítimas, diz-se que o UAT-5918 compartilha sobreposições táticas com várias equipes de hackers chinesas rastreadas como Volt Typhoon, Flax Typhoon, Tropic Trooper, Earth Estries e Dalbit.

As cadeias de ataques orquestradas pelo grupo envolvem obter acesso inicial explorando falhas de segurança do tipo N-day em servidores web e de aplicativos não corrigidos expostos à internet.

O ponto de apoio é então utilizado para implementar várias ferramentas open-source para conduzir reconhecimento de rede, coleta de informações do sistema e movimento lateral.

A tradecraft de pós-exploração do UAT-5918 envolve o uso de Fast Reverse Proxy (FRP) e Neo-reGeorge para configurar túneis de *reverse proxy* para acessar pontos finais comprometidos via hosts remotos controlados pelo atacante.

O ator de ameaça também tem utilizado ferramentas como Mimikatz, LaZagne e um extrator baseado em navegador denominado BrowserDataLite para colher credenciais e penetrar ainda mais profundamente no ambiente-alvo via RDP, WMIC ou Impact.

Também são utilizados Chopper web shell, Crowdoor e SparrowDoor, sendo que os dois últimos já foram utilizados por outro grupo de ameaças chamado Earth Estries.

O BrowserDataLite, em particular, é projetado para furtar informações de login, cookies e histórico de navegação dos navegadores web.

O ator de ameaça também se envolve em roubo sistemático de dados ao enumerar drives locais e compartilhados para encontrar dados de interesse.

"A atividade que monitoramos sugere que a atividade pós-compromisso é feita manualmente com o principal objetivo sendo o roubo de informações", disseram os pesquisadores.

Evidentemente, isso também inclui a implementação de web shells em quaisquer subdomínios descobertos e servidores acessíveis pela internet para abrir múltiplos pontos de entrada para as organizações vítimas.

Publicidade

Traçamos um caminho para você ir do zero ao avançado em hacking

Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...