Les chasseurs de menaces ont découvert un nouvel acteur de menace nommé UAT-5918 qui attaque les entités d’infrastructures critiques à Taïwan depuis au moins 2023.
“UAT-5918, un acteur de menace qui serait motivé par la création d’un accès à long terme pour le vol d’information, utilise une combinaison de coquilles Web et d’outils open source pour mener des activités post-compromis pour établir la persistance dans les environnements de victimes pour le vol d’information et la récolte d’identification”, Cisco Talos Researchers dit.
Outre les infrastructures critiques, certains des autres verticaux ciblés comprennent les technologies de l’information, les télécommunications, le monde universitaire et les soins de santé.
Évalué comme un groupe avancé de menace persistante (APT) qui cherche à établir un accès persistant à long terme dans les environnements de victimes, l’UAT-5918 partagerait les chevauchements tactiques avec plusieurs équipes de piratage chinois suivis en tant que Typhoon Volt, Typhoon de lin, soldat tropique, œstries terrestres et dalbit.
Les chaînes d’attaque orchestrées par le groupe impliquent l’obtention d’un accès initial en exploitant les défauts de sécurité du jour dans les serveurs Web et d’applications non corrigées exposées à Internet. Le pied est ensuite utilisé pour abandonner plusieurs outils open source pour effectuer la reconnaissance du réseau, la collecte d’informations système et le mouvement latéral.
Le commerce commercial post-exploitation de l’UAT-5918 implique l’utilisation de proxy inverse rapide (FRP) et de néo-regeorge pour configurer les tunnels proxy inversés pour accéder aux critères d’évaluation compromis via des hôtes distants contrôlés par l’attaquant.
L’acteur de menace a également tiré parti d’outils comme Mimikatz, Lazagne et un extracteur basé sur un navigateur surnommé BrowserDatalite pour récolter des informations d’identification pour creuser davantage profondément dans l’environnement cible via RDP, WMIC ou Impact. Sont également utilisés, la coquille de chopper, la foule et le Sparrowdoor, dont les deux ont déjà été utilisées par un autre groupe de menaces appelé Earth Estries.
BrowserDatalite, en particulier, est conçu pour piloter des informations de connexion, des cookies et des histoires de navigation à partir de navigateurs Web. L’acteur de menace engage également un vol de données systématique en énumérant les lecteurs locaux et partagés pour trouver des données d’intérêt.
“L’activité que nous avons surveillée suggère que l’activité post-compromis est effectuée manuellement, l’objectif principal étant le vol d’information”, ont déclaré les chercheurs. “De toute évidence, il comprend également le déploiement de coquilles Web dans tous les sous-domaines découverts et les serveurs accessibles à Internet pour ouvrir plusieurs points d’entrée aux organisations victimes.”