Los cazadores de amenazas han descubierto un nuevo actor de amenaza llamado UAT-5918 que ha estado atacando entidades de infraestructura crítica en Taiwán desde al menos 2023.
«UAT-5918, un actor de amenaza que se cree que está motivado al establecer un llegada a amplio plazo para el robo de información, utiliza una combinación de proyectiles web y herramientas de código libre para realizar actividades posteriores a la compromiso para establecer la persistencia en los entornos de víctimas para el robo de información y la cosecha de credenciales», dicen los investigadores de Cisco Talos Jungsoo An, Asheer Malhotra, Brandon White, y Ventura Ventura.
Adicionalmente de la infraestructura crítica, algunos de los otros verticales dirigidos incluyen tecnología de la información, telecomunicaciones, corporación y atención médica.
Se evalúa como un peña renovador de amenaza persistente (APT) que examen establecer un llegada persistente a amplio plazo en entornos de víctimas, se dice que UAT-5918 comparte superposiciones tácticas con varios equipos de piratería chinos rastreados como Typhoon Volt, Typhoon de Flax, Tropic Troper, Earth Estries y Dalbit.
Las cadenas de ataque orquestadas por el peña implican obtener el llegada original al explotar fallas de seguridad N-Day en servidores web y de aplicaciones sin parpadear expuestos a Internet. El punto de apoyo se utiliza para eliminar varias herramientas de código libre para aguantar a término el inspección de la red, la compilación de información del sistema y el movimiento adjunto.
La artesanía posterior a la explotación de UAT-5918 implica el uso de proxy inverso rápido (FRP) y Neo-Regeorge para configurar túneles de proxy inversos para entrar a puntos finales comprometidos a través de hosts remotos controlados por atacantes.
El actor de amenaza igualmente ha estado aprovechando herramientas como Mimikatz, Lazagne y un extractor basado en navegador llamado BrowserDatalite para cosechar credenciales para arrinconar profundamente en el entorno objetivo a través de RDP, WMIC o impacto. Todavía se utilizan Chopper Web Shell, Cullyer y Sparrowdoor, los dos últimos han sido utilizados previamente por otro peña de amenazas llamado Earth Stries.
BrowserDatalite, en particular, está diseñado para robar información de inicio de sesión, cookies e historial de navegación de los navegadores web. El actor de amenaza igualmente se dedica al robo de datos sistemáticos al enumerar unidades locales y compartidas para encontrar datos de interés.
«La actividad que monitoreamos sugiere que la actividad posterior a la compromiso se realiza manualmente con el objetivo principal de ser el robo de información», dijeron los investigadores. «Evidentemente, igualmente incluye el despliegue de proyectiles web en cualquier subdominio descubierto y servidores accesibles para Internet para desobstruir múltiples puntos de entrada a las organizaciones de víctimas».
