{"id":1589310,"date":"2025-03-21T12:57:21","date_gmt":"2025-03-21T14:57:21","guid":{"rendered":"https:\/\/teknomers.com\/fr\/uat-5918-cible-linfrastructure-critique-de-taiwan-a-laide-de-shells-web-et-doutils-open-source\/"},"modified":"2025-03-21T12:57:26","modified_gmt":"2025-03-21T14:57:26","slug":"uat-5918-cible-linfrastructure-critique-de-taiwan-a-laide-de-shells-web-et-doutils-open-source","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/uat-5918-cible-linfrastructure-critique-de-taiwan-a-laide-de-shells-web-et-doutils-open-source\/","title":{"rendered":"UAT-5918 cible l’infrastructure critique de Taiwan \u00e0 l’aide de shells Web et d’outils open-source"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>21 mars 2025<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Chasse \/ vuln\u00e9rabilit\u00e9 des menaces<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Les chasseurs de menaces ont d\u00e9couvert un nouvel acteur de menace nomm\u00e9 UAT-5918 qui attaque les entit\u00e9s d’infrastructures critiques \u00e0 Ta\u00efwan depuis au moins 2023.<\/p>\n

“UAT-5918, un acteur de menace qui serait motiv\u00e9 par la cr\u00e9ation d’un acc\u00e8s \u00e0 long terme pour le vol d’information, utilise une combinaison de coquilles Web et d’outils open source pour mener des activit\u00e9s post-compromis pour \u00e9tablir la persistance dans les environnements de victimes pour le vol d’information et la r\u00e9colte d’identification”, Cisco Talos Researchers dit<\/a>.<\/p>\n

\"Cybers\u00e9curit\u00e9\"<\/a><\/center><\/div>\n

Outre les infrastructures critiques, certains des autres verticaux cibl\u00e9s comprennent les technologies de l’information, les t\u00e9l\u00e9communications, le monde universitaire et les soins de sant\u00e9.<\/p>\n

\u00c9valu\u00e9 comme un groupe avanc\u00e9 de menace persistante (APT) qui cherche \u00e0 \u00e9tablir un acc\u00e8s persistant \u00e0 long terme dans les environnements de victimes, l’UAT-5918 partagerait les chevauchements tactiques avec plusieurs \u00e9quipes de piratage chinois suivis en tant que Typhoon Volt, Typhoon de lin, soldat tropique, \u0153stries terrestres et dalbit.<\/p>\n

\"\"<\/a><\/div>\n

Les cha\u00eenes d’attaque orchestr\u00e9es par le groupe impliquent l’obtention d’un acc\u00e8s initial en exploitant les d\u00e9fauts de s\u00e9curit\u00e9 du jour dans les serveurs Web et d’applications non corrig\u00e9es expos\u00e9es \u00e0 Internet. Le pied est ensuite utilis\u00e9 pour abandonner plusieurs outils open source pour effectuer la reconnaissance du r\u00e9seau, la collecte d’informations syst\u00e8me et le mouvement lat\u00e9ral.<\/p>\n

Le commerce commercial post-exploitation de l’UAT-5918 implique l’utilisation de proxy inverse rapide (FRP) et de n\u00e9o-regeorge pour configurer les tunnels proxy invers\u00e9s pour acc\u00e9der aux crit\u00e8res d’\u00e9valuation compromis via des h\u00f4tes distants contr\u00f4l\u00e9s par l’attaquant.<\/p>\n

\"Cybers\u00e9curit\u00e9\"<\/a><\/center><\/div>\n

L’acteur de menace a \u00e9galement tir\u00e9 parti d’outils comme Mimikatz, Lazagne et un extracteur bas\u00e9 sur un navigateur surnomm\u00e9 BrowserDatalite pour r\u00e9colter des informations d’identification pour creuser davantage profond\u00e9ment dans l’environnement cible via RDP, WMIC ou Impact. Sont \u00e9galement utilis\u00e9s, la coquille de chopper, la foule et le Sparrowdoor, dont les deux ont d\u00e9j\u00e0 \u00e9t\u00e9 utilis\u00e9es par un autre groupe de menaces appel\u00e9 Earth Estries.<\/p>\n

BrowserDatalite, en particulier, est con\u00e7u pour piloter des informations de connexion, des cookies et des histoires de navigation \u00e0 partir de navigateurs Web. L’acteur de menace engage \u00e9galement un vol de donn\u00e9es syst\u00e9matique en \u00e9num\u00e9rant les lecteurs locaux et partag\u00e9s pour trouver des donn\u00e9es d’int\u00e9r\u00eat.<\/p>\n

“L’activit\u00e9 que nous avons surveill\u00e9e sugg\u00e8re que l’activit\u00e9 post-compromis est effectu\u00e9e manuellement, l’objectif principal \u00e9tant le vol d’information”, ont d\u00e9clar\u00e9 les chercheurs. “De toute \u00e9vidence, il comprend \u00e9galement le d\u00e9ploiement de coquilles Web dans tous les sous-domaines d\u00e9couverts et les serveurs accessibles \u00e0 Internet pour ouvrir plusieurs points d’entr\u00e9e aux organisations victimes.”<\/p>\n

<\/p>\n

Vous avez trouv\u00e9 cet article int\u00e9ressant? Suivez-nous Gazouillement \uf099<\/i><\/a> et Liendin<\/a> Pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n