{"id":1632302,"date":"2025-03-21T17:01:19","date_gmt":"2025-03-21T17:01:19","guid":{"rendered":"https:\/\/teknomers.com\/es\/uat-5918-se-dirige-a-la-infraestructura-critica-de-taiwan-utilizando-shells-web-y-herramientas-de-codigo-abierto\/"},"modified":"2025-03-21T17:01:23","modified_gmt":"2025-03-21T17:01:23","slug":"uat-5918-se-dirige-a-la-infraestructura-critica-de-taiwan-utilizando-shells-web-y-herramientas-de-codigo-abierto","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/uat-5918-se-dirige-a-la-infraestructura-critica-de-taiwan-utilizando-shells-web-y-herramientas-de-codigo-abierto\/","title":{"rendered":"UAT-5918 se dirige a la infraestructura cr\u00edtica de Taiw\u00e1n utilizando shells web y herramientas de c\u00f3digo abierto"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>21 de marzo de 2025<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Caza de amenazas \/ vulnerabilidad<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Los cazadores de amenazas han descubierto un nuevo actor de amenaza llamado UAT-5918 que ha estado atacando entidades de infraestructura cr\u00edtica en Taiw\u00e1n desde al menos 2023.<\/p>\n

“UAT-5918, un actor de amenaza que se cree que est\u00e1 motivado al establecer un acceso a largo plazo para el robo de informaci\u00f3n, utiliza una combinaci\u00f3n de proyectiles web y herramientas de origen abierto para realizar actividades posteriores a la compromiso para establecer persistencia en entornos de v\u00edctimas para el robo de informaci\u00f3n y la cosecha de credenciales”, los investigadores de Cisco Talos Jungsoo An, Asheer Malhotra, Brandon White, y Vential Ventura, Ventura, Ventura, Ventura, Ventura, Ventura, Ventura. dicho<\/a>.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Adem\u00e1s de la infraestructura cr\u00edtica, algunos de los otros verticales dirigidos incluyen tecnolog\u00eda de la informaci\u00f3n, telecomunicaciones, academia y atenci\u00f3n m\u00e9dica.<\/p>\n

Se eval\u00faa como un grupo avanzado de amenaza persistente (APT) que busca establecer un acceso persistente a largo plazo en entornos de v\u00edctimas, se dice que UAT-5918 comparte superposiciones t\u00e1cticas con varios equipos de pirater\u00eda chinos rastreados como Typhoon Volt, Typhoon de Flax, Tropic Troper, Earth Estries y Dalbit.<\/p>\n

\"\"<\/a><\/div>\n

Las cadenas de ataque orquestadas por el grupo implican obtener el acceso inicial al explotar fallas de seguridad N-Day en servidores web y de aplicaciones sin parpadear expuestos a Internet. El punto de apoyo se utiliza para eliminar varias herramientas de c\u00f3digo abierto para llevar a cabo el reconocimiento de la red, la recopilaci\u00f3n de informaci\u00f3n del sistema y el movimiento lateral.<\/p>\n

La artesan\u00eda posterior a la explotaci\u00f3n de UAT-5918 implica el uso de proxy inverso r\u00e1pido (FRP) y Neo-Regeorge para configurar t\u00faneles de proxy inversos para acceder a puntos finales comprometidos a trav\u00e9s de hosts remotos controlados por atacantes.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

El actor de amenaza tambi\u00e9n ha estado aprovechando herramientas como Mimikatz, Lazagne y un extractor basado en navegador llamado BrowserDatalite para cosechar credenciales para enterrar profundamente en el entorno objetivo a trav\u00e9s de RDP, WMIC o impacto. Tambi\u00e9n se utilizan Chopper Web Shell, Cullyer y Sparrowdoor, los dos \u00faltimos han sido utilizados previamente por otro grupo de amenazas llamado Earth Stries.<\/p>\n

BrowserDatalite, en particular, est\u00e1 dise\u00f1ado para robar informaci\u00f3n de inicio de sesi\u00f3n, cookies e historial de navegaci\u00f3n de los navegadores web. El actor de amenaza tambi\u00e9n se dedica al robo de datos sistem\u00e1ticos al enumerar unidades locales y compartidas para encontrar datos de inter\u00e9s.<\/p>\n

“La actividad que monitoreamos sugiere que la actividad posterior a la compromiso se realiza manualmente con el objetivo principal de ser el robo de informaci\u00f3n”, dijeron los investigadores. “Evidentemente, tambi\u00e9n incluye el despliegue de proyectiles web en cualquier subdominio descubierto y servidores accesibles para Internet para abrir m\u00faltiples puntos de entrada a las organizaciones de v\u00edctimas”.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n