Los cazadores de amenazas han descubierto un nuevo actor de amenaza llamado UAT-5918 que ha estado atacando entidades de infraestructura crítica en Taiwán desde al menos 2023.
“UAT-5918, un actor de amenaza que se cree que está motivado al establecer el acercamiento a prolongado plazo para el robo de información, utiliza una combinación de proyectiles web y herramientas de código destapado para realizar actividades posteriores a la compromiso para establecer la persistencia en los entornos de víctimas para el robo de información y la cosecha de credenciales”, dicen los investigadores de Cisco Talos Jungsoo An, Asheer Malhotra, Brandon White, y Ventura Ventura.
Encima de la infraestructura crítica, algunos de los otros verticales dirigidos incluyen tecnología de la información, telecomunicaciones, entidad y atención médica.
Se evalúa como un peña renovador de amenaza persistente (APT) que examen establecer un acercamiento persistente a prolongado plazo en entornos de víctimas, se dice que UAT-5918 comparte superposiciones tácticas con varios equipos de piratería chinos rastreados como Typhoon Volt, Typhoon de Flax, Tropic Troper, Earth Estries y Dalbit.
Las cadenas de ataque orquestadas por el peña implican obtener el acercamiento original al explotar fallas de seguridad N-Day en servidores web y de aplicaciones sin parpadear expuestos a Internet. El punto de apoyo se utiliza para eliminar varias herramientas de código destapado para soportar a extremo el registro de la red, la resumen de información del sistema y el movimiento vecino.
La artesanía posterior a la explotación de UAT-5918 implica el uso de proxy inverso rápido (FRP) y Neo-Regeorge para configurar túneles de proxy inversos para alcanzar a puntos finales comprometidos a través de hosts remotos controlados por atacantes.
El actor de amenaza igualmente ha estado aprovechando herramientas como Mimikatz, Lazagne y un extractor basado en navegador llamado BrowserDatalite para cosechar credenciales para relegar profundamente en el entorno objetivo a través de RDP, WMIC o impacto. Igualmente se utilizan Chopper Web Shell, Cullyer y Sparrowdoor, los dos últimos han sido utilizados previamente por otro peña de amenazas llamado Earth Stries.
BrowserDatalite, en particular, está diseñado para robar información de inicio de sesión, cookies e historial de navegación de los navegadores web. El actor de amenaza igualmente se dedica al robo de datos sistemáticos al enumerar unidades locales y compartidas para encontrar datos de interés.
“La actividad que monitoreamos sugiere que la actividad posterior a la compromiso se realiza manualmente con el objetivo principal de ser el robo de información”, dijeron los investigadores. “Evidentemente, igualmente incluye el despliegue de proyectiles web en cualquier subdominio descubierto y servidores accesibles para Internet para cascar múltiples puntos de entrada a las organizaciones de víctimas”.
