Dreigingsjagers hebben een nieuwe dreigingsacteur genaamd UAT-5918 ontdekt die al sinds minstens 2023 kritieke infrastructuurentiteiten aanvalt in Taiwan.
“UAT-5918, een dreigingsacteur die wordt verondersteld te worden gemotiveerd door het vaststellen van langetermijntoegang voor informatiediefstal, maakt gebruik van een combinatie van webschalen en open-sourced tooling om post-compromisse activiteiten uit te voeren om persistentie te vestigen in slachtofferomgevingen voor informatiediefstal en credentiële oogst,” zei Cisco Talos-onderzoekers Jungsoo An, Asheer Malhotra, Brandon White, en Vor Ventura zei.
Naast kritieke infrastructuur omvatten sommige van de andere gerichte verticals informatietechnologie, telecommunicatie, academische wereld en gezondheidszorg.
Er wordt gezegd dat als een geavanceerde persistente dreigingsgroep (APT) die op zoek is naar langdurige aanhoudende toegang in slachtofferomgevingen en zou UAT-5918 tactische overlappingen delen met verschillende Chinese hackbemanningen die worden gevolgd als Volt Typhoon, Flax Typhoon, Tropic Trooper, Earth Ostries en Dalbit.
Aanvalketens georkestreerd door de groep omvatten het verkrijgen van initiële toegang door N-Day-beveiligingsfouten te exploiteren in niet-gepatchte web- en applicatieservers die zijn blootgesteld aan internet. De positie wordt vervolgens gebruikt om verschillende open-source tools te laten vallen om netwerkverkenning, systeeminformatie-verzameling en laterale beweging uit te voeren.
Het Post-Exploitation TradeCraft van UAT-5918 omvat het gebruik van snelle reverse proxy (FRP) en Neo-Regeorge om omgekeerde proxy-tunnels in te stellen voor toegang tot gecompromitteerde eindpunten via aanvallersgestuurde externe hosts.
De dreigingsacteur heeft ook gebruik gemaakt van tools zoals Mimikatz, Lazagne en een browser-gebaseerde extractor genaamd Browserdatalite om referenties te oogsten om diep in de doelomgeving te gaan in de doelomgeving via RDP, WMIC of impact. Ook gebruikt zijn Chopper Web Shell, Crowdoor en Sparrowdoor, waarvan de laatste twee eerder zijn gebruikt door een andere bedreigingsgroep genaamd Earth Estries.
Vooral BrowserDatalite is ontworpen om inloginformatie, cookies en browsegeschiedenis van webbrowsers te pilferen. De dreigingsacteur houdt zich ook bezig met systematische gegevensdiefstal door lokale en gedeelde schijven op te sommen om interesse gegevens te vinden.
“De activiteit die we hebben gecontroleerd, suggereert dat de activiteit na de compromisse handmatig wordt uitgevoerd, waarbij het hoofddoel informatie-diefstal is,” zeiden de onderzoekers. “Het is duidelijk dat het ook de implementatie van webschalen omvat in alle ontdekte subdomeinen en internet-toegankelijke servers om meerdere toegangspunten te openen voor de slachtofferorganisaties.”
