Tehdit avcıları, en az 2023’ten beri Tayvan’daki kritik altyapı kuruluşlarına saldıran UAT-5918 adında yeni bir tehdit oyuncusu ortaya çıkardılar.
“Bilgi hırsızlığı için uzun süreli erişim sağlayarak motive edildiğine inanılan bir tehdit aktörü olan UAT-5918, bilgi hırsızlığı ve kimlik bilgisi hasadı için kurban ortamlarında kalıcılık oluşturmak için Web kabuklarının ve açık kaynaklı araçların bir kombinasyonunu kullanıyor.” söz konusu.
Kritik altyapının yanı sıra, diğer hedeflenen sektörlerden bazıları bilgi teknolojisi, telekomünikasyon, akademi ve sağlık hizmetleri içerir.
Mağdur ortamlarda uzun vadeli kalıcı erişim sağlamak isteyen gelişmiş bir kalıcı tehdit (APT) grubu olarak değerlendirilen UAT-5918’in, volt tayfun, keten tayfun, tropik asker, toprak özetleri ve dalbit olarak izlenen birkaç Çin hack ekibiyle taktik örtüşme paylaştığı söyleniyor.
Grup tarafından düzenlenen saldırı zincirleri, internete maruz kalan Web ve uygulama sunucularında N-Day güvenlik kusurlarından yararlanarak başlangıç erişimini almayı içerir. Daha sonra taban, ağ keşfi, sistem bilgi toplama ve yanal hareket yapmak için birkaç açık kaynaklı araç bırakmak için kullanılır.
UAT-5918’in Sıkıştırma Sonrası Tradecraft, saldırgan kontrollü uzak ana bilgisayarlar aracılığıyla tehlikeye atılan uç noktalara erişmek için ters proxy tünelleri kurmak için hızlı ters proxy (FRP) ve Neo-Regorge kullanımını içerir.
Tehdit oyuncusu ayrıca Mimikatz, Lazagne gibi araçlardan yararlanıyor ve RDP, WMIC veya Impact aracılığıyla hedef ortamın derinliklerine daha da gömülmek için kimlik bilgilerini hasat etmek için tarayıcı tabanlı bir çıkarıcı. Ayrıca, daha önce ikisi Earth Astries adlı başka bir tehdit grubu tarafından kullanılmak üzere, helikopter web kabuğu, crowdoor ve Sparrowdoor da kullanılır.
Özellikle BrowserDatalite, web tarayıcılarından giriş bilgilerini, çerezleri ve tarama geçmişine girecek şekilde tasarlanmıştır. Tehdit oyuncusu ayrıca, ilgili verileri bulmak için yerel ve paylaşılan sürücüleri numaralandırarak sistematik veri hırsızlığı yapıyor.
Araştırmacılar, “İzlediğimiz faaliyet, kontrat sonrası etkinliğin ana hedefin bilgi hırsızlığı olmasıyla manuel olarak yapıldığını gösteriyor.” Dedi. Diyerek şöyle devam etti: “Açıkçası, kurban kuruluşlarına birden fazla giriş noktası açmak için keşfedilen alt alanlara ve internete erişilebilir sunuculara web mermilerinin konuşlandırılmasını da içeriyor.”
