Los cazadores de amenazas han descubierto un nuevo actor de amenaza llamado UAT-5918 que ha estado atacando entidades de infraestructura crítica en Taiwán desde al menos 2023.
«UAT-5918, un actor de amenaza que se cree que está motivado al establecer el acceso a largo plazo para el robo de información, utiliza una combinación de proyectiles web y herramientas de código abierto para realizar actividades posteriores a la compromiso para establecer la persistencia en los entornos de víctimas para el robo de información y la cosecha de credenciales», dicen los investigadores de Cisco Talos Jungsoo An, Asheer Malhotra, Brandon White, y Ventura Ventura.
Además de la infraestructura crítica, algunos de los otros verticales dirigidos incluyen tecnología de la información, telecomunicaciones, academia y atención médica.
Se evalúa como un grupo avanzado de amenaza persistente (APT) que busca establecer un acceso persistente a largo plazo en entornos de víctimas, se dice que UAT-5918 comparte superposiciones tácticas con varios equipos de piratería chinos rastreados como Typhoon Volt, Typhoon de Flax, Tropic Troper, Earth Estries y Dalbit.
Las cadenas de ataque orquestadas por el grupo implican obtener el acceso inicial al explotar fallas de seguridad N-Day en servidores web y de aplicaciones sin parpadear expuestos a Internet. El punto de apoyo se utiliza para eliminar varias herramientas de código abierto para llevar a cabo el reconocimiento de la red, la recopilación de información del sistema y el movimiento lateral.
La artesanía posterior a la explotación de UAT-5918 implica el uso de proxy inverso rápido (FRP) y Neo-Regeorge para configurar túneles de proxy inversos para acceder a puntos finales comprometidos a través de hosts remotos controlados por atacantes.
El actor de amenaza también ha estado aprovechando herramientas como Mimikatz, Lazagne y un extractor basado en navegador llamado BrowserDatalite para cosechar credenciales para enterrar profundamente en el entorno objetivo a través de RDP, WMIC o impacto. También se utilizan Chopper Web Shell, Cullyer y Sparrowdoor, los dos últimos han sido utilizados previamente por otro grupo de amenazas llamado Earth Stries.
BrowserDatalite, en particular, está diseñado para robar información de inicio de sesión, cookies e historial de navegación de los navegadores web. El actor de amenaza también se dedica al robo de datos sistemáticos al enumerar unidades locales y compartidas para encontrar datos de interés.
«La actividad que monitoreamos sugiere que la actividad posterior a la compromiso se realiza manualmente con el objetivo principal de ser el robo de información», dijeron los investigadores. «Evidentemente, también incluye el despliegue de proyectiles web en cualquier subdominio descubierto y servidores accesibles para Internet para abrir múltiples puntos de entrada a las organizaciones de víctimas».