Siber savaş / ulus-devlet saldırıları, dolandırıcılık yönetimi ve siber suç, Geo Focus: Asya
UAT-5918 Tayvan’ın Kritik Sektörlerini Siber Yenileme için N-Day Flaws Kullanarak İhlal ediyor
Anviksha More (Anvikshamore) •
21 Mart 2025
Araştırmacılar, Çin tabanlı hack gruplarıyla bağları olan bilgisayar korsanlarının, sibersiz bir kampanyanın giriş noktaları olarak açılmamış web ve uygulama sunucularını kullanarak Tayvan’ın kritik altyapısını ihlal ettiğini söyledi.
Ayrıca bakınız: Kuruluşunuzu güvence altına almak için 57 ipucu
Cisco Talos tehdit avcıları yeni bir tehdit oyuncusu tanımladılar, UAT-5918 olarak takip ettiler ve Tayvan’ın en az 2023’ten beri kritik altyapısını hedeflediler.
Araştırmacılar grubu, Volt Typhoon ve Keten Typhoon gibi Çin devlet destekli gruplarla taktikler, teknikler, prosedürler ve hedef seçimi kullanarak tanımladılar. Grup ayrıca bilgi teknolojisi, telekomünikasyon, akademi ve sağlık hizmetleri de dahil olmak üzere sektörleri hedef aldı.
UAT-5918, açılmamış web ve uygulama sunucularındaki N-Day güvenlik açıklarından ödün vererek ağlara sızar. Grup daha sonra ağı incelemek, sistem ayrıntılarını toplamak ve cihazlar arasında yanal olarak gezinmek için açık kaynaklı araçlar yükler.
Erişimi korumak için UAT-5918, saldırganla çalışan ana bilgisayarlar yoluyla tehlikeye atılan uç noktaların uzaktan kontrolünü sağlayan ters proxy tünelleri oluşturarak hızlı ters proxy ve neo-regeorg kullanır.
Kimlik bilgisi ve veri hırsızlığı için kullanılan araçların çoğu, her ikisi de casusluk faaliyetleri için kötü şöhretli olan Volt Typhoon ve Keten Typhoon ile ilişkilidir. Cisco Talos, UAT-5918 ile Famoussparrow ve Earth Astries dahil olmak üzere diğer Çin merkezli tehdit aktörleri arasındaki olası bağlantıları daha da ortaya çıkardı.
UAT-5918, oturum açma kimlik bilgilerini çıkarmak ve tehlikeye atılan ağlardaki dayanağını derinleştirmek için Mimikatz, Lazagne ve BrowserDatalite dahil olmak üzere bir dizi kimlik bilgisi hasat aracı kullanır. Grup, RDP, WMIC ve ithalat kullanarak erişimini genişleterek daha fazla infiltrasyon sağlayarak genişletir.
Saldırganlar ayrıca, kalıcılığı korumak için Chopper Web Shell, Crowdoor ve Sparrowdoor’u daha önce Dünya Ağı’na bağlı olarak kullanıyorlar. Özellikle BrowserDatalite, web tarayıcılarından giriş bilgilerini, çerezleri ve tarama geçmişini çalmak için tasarlanmıştır. Grup ayrıca, değerli bilgiler için hem yerel hem de paylaşılan sürücüleri tarayarak sistematik veri hırsızlığı yapar.
Ocak ayında FBI, ABD ve Guam’daki kritik altyapı ağlarına sızmak için Volt Typhoon’u bozdu. Operasyon, bilgisayar korsanlarının savunmasız yönlendiricilere ve ağ cihazlarına diktiği kötü niyetli web mermilerini uzaktan devre dışı bırakmak için mahkeme onaylı eylemler içeriyordu. FBI, saldırganlar casusluk veya sabotaj için erişimini kullanmadan önce tehdidi etkisiz hale getirmek için özel sektör ortaklarıyla birlikte çalıştı (bkz:: FBI, büyük bir Çin hack kampanyasını nasıl durdurdu).
Bu hafta Meclis İç Güvenlik Komitesi üyeleri, federal hükümetin Volt Typhoon ve Salt Typhoon tarafından siber müdahaleleri ele alması hakkında bir gözetim soruşturması başlattı. Önceki yönetimin şeffaflık eksikliği ve enerji, su, ulaşım ve iletişim gibi ABD kritik altyapı sektörlerini tehlikeye atan tehditlere gecikmiş yanıtlar hakkında endişelerini dile getirdiler.
Cisco Talos araştırmacılarına göre, UAT-5918’in operasyonları “kontrat sonrası faaliyetin ana hedef bilgi hırsızlığı olması ile manuel olarak yapıldığını” ileri sürüyor.