Pažangus grėsmės veikėjas, sekamas UAT-8837 ir, kaip manoma, susijęs su Kinija, daugiausia dėmesio skyrė ypatingos svarbos infrastruktūros sistemoms Šiaurės Amerikoje, gaudamas prieigą išnaudodamas ir žinomus, ir nulinės dienos pažeidžiamumus.
„Cisco Talos“ mokslininkai teigia, kad įsilaužėlių grupė veikia mažiausiai nuo 2025 m., o jos tikslas, atrodo, yra iš esmės gauti pradinę prieigą prie tikslinių organizacijų.
Ankstesnėje ataskaitoje tie patys tyrėjai pažymėjo, kad kitam su Kinija susijusiam veikėjui, kurio viduje yra UAT-7290 ir kuris veikia mažiausiai nuo 2022 m., taip pat pavesta gauti prieigą. Tačiau jie pažymi, kad užpuolikas taip pat dalyvauja šnipinėjimo veikloje.
UAT-8837 atakos paprastai prasideda pasinaudojant pažeistais kredencialais arba išnaudojant serverio pažeidžiamumą.
Neseniai įvykusio incidento metu grėsmės veikėjas išnaudojo CVE-2025-53690 – „ViewState Deserialization“ nulinės dienos „Sitecore“ produktų trūkumą, kuris gali reikšti prieigą prie neatskleistų saugos problemų.
Mandiant tyrinėtojai pranešė, kad CVE-2025-53690 yra aktyviai išnaudojama nulinė diena 2025 m. rugsėjo pradžioje, per ataką, per kurią jie stebėjo žvalgybos užpakalinių durų, pavadintų „WeepSteel“, dislokavimą.
„Cisco Talos“ turi vidutinį pasitikėjimą, jungiantį UAT-8837 su Kinijos operacijomis, o tyrėjo vertinimas yra „pagrįstas taktikos, technikos ir procedūrų (TTP) sutapimais su kitų žinomų Kinijos sąsajos grėsmės veikėjų taktikos, metodų ir procedūrų sutapimais“.
Pažeidus tinklą, UAT-8837 gali naudoti Windows savąsias komandas, kad atliktų pagrindinio kompiuterio ir tinklo žvalgybą ir išjungtų RDP RestrictedAdmin, kad palengvintų kredencialų rinkimą.
„Cisco Talos“ analitikai pažymi, kad užpuoliko veikla po išnaudojimo apima praktines klaviatūros operacijas, skirtas paleisti įvairias komandas jautriems duomenims, pvz., kredencialams, rinkti.
Kalbant apie įrankius, pastebėtus šiose atakose, UAT-8837 daugiausia naudoja atvirojo kodo ir ne žemėje gyvenančias komunalines paslaugas, nuolat keičiant variantus, kad išvengtų aptikimo. Kai kurie įrankiai, paryškinti „Cisco Talos“ ataskaitoje, yra šie:
- GoTokenTheft, Rubeus, Certipy – pavogti prieigos prieigos raktus, piktnaudžiauti „Kerberos“ ir rinkti su „Active Directory“ susijusius kredencialus ir sertifikatų duomenis
- SharpHound, Certipy, setspn, dsquery, dsget – surašyti „Active Directory“ vartotojus, grupes, SPN, paslaugų paskyras ir domenų ryšius
- Impacket, Invoke-WMIExec, GoExec, SharpWMI – Vykdyti komandas nuotolinėse sistemose per WMI ir DCOM; aktorius peržiūri įrankius, kai aptikimas blokuoja vykdymą
- Sliekas – sukuria atvirkštinius SOCKS tunelius, pateikdamas vidines sistemas užpuoliko valdomai infrastruktūrai
- DWAgentas – nuotolinio administravimo įrankis prieigai palaikyti ir papildomoms naudingosioms apkrovoms dislokuoti
- „Windows“ komandos ir paslaugos – rinkti pagrindinio kompiuterio, tinklo ir saugos politikos informaciją, įskaitant slaptažodžius ir nustatymus
Remdamiesi komandomis, vykdomomis per analizuojamą įsibrovimą, mokslininkai padarė išvadą, kad užpuolikai taikosi į kredencialus, AD topologiją ir pasitikėjimo ryšius bei saugos politiką ir konfigūracijas.
Bent vieną kartą įsilaužėliai išfiltravo DLL iš aukos naudojamo produkto, kuris galėtų būti panaudotas būsimoms trojanizavimo ir tiekimo grandinės atakoms.
„Cisco Talos“ ataskaitoje pateikiami atakoje naudojamų komandų ir įrankių pavyzdžiai, taip pat UAT-8837 veiklos kompromiso rodiklių sąrašas.
MCP (Model Context Protocol) tampant LLM prijungimo prie įrankių ir duomenų standartu, saugos komandos sparčiai dirba, kad šios naujos paslaugos būtų saugios.
Šiame nemokamame apgaulės lape pateikiamos 7 geriausios praktikos, kurias galite pradėti naudoti jau šiandien.
