UAT-5918 olarak tanımlanan yeni bir siber güvenlik tehdidi, Tayvan’daki, özellikle de telekomünikasyon, sağlık ve bilgi teknolojisi gibi kritik altyapı sektörlerindeki varlıkları aktif olarak hedeflemektedir.
Bu gelişmiş kalıcı tehdit (APT) grubunun, bilgi hırsızlığı ve kimlik bilgisi hasat için uzun vadeli erişim sağlayarak motive edildiğine inanılmaktadır.
UAT-5918, internete maruz kalan olmayan web ve uygulama sunucularında bilinen güvenlik açıklarından veya n-day güvenlik açıklarından yararlanarak ilk erişim kazanır.
Kontratür sonrası faaliyetler
Başarılı bir sömürü takiben, UAT-5918, ağ keşiflerine ve kalıcılık oluşturmaya odaklanan manuel kontratür sonrası faaliyetler yürütür.
Grup, helikopter web kabuğu gibi web kabukları ve FRPC, FSCAN, Sapta, Solucan ve Neo-Regeorg gibi ağ araçları dahil olmak üzere çeşitli açık kaynaklı araçlar kullanır.
Bu araçlar, tehdit oyuncusunun tehlikeye atılan ağ içinde yanal olarak hareket etmesini, sistem bilgilerini toplamasını ve yeni idari kullanıcı hesapları oluşturmasını sağlar.
Kimlik bilgisi hasat, yerel ve alan düzeyinde kullanıcı kimlik bilgilerini elde etmek için Mimikatz, Lazagne ve Tarayıcı kimlik bilgisi çıkarıcılar gibi araçlar kullanan önemli bir taktiktir.
UAT-5918 ayrıca RDP ve PowerShell Remoting aracılığıyla yanal hareket için Impacket ve WMIC gibi araçları da kullanır.
Diğer APT gruplarıyla örtüşüyor
UAT-5918’in taktikleri, teknikleri ve prosedürleri (TTP’ler), Volt Typhoon, Keten Typhoon, Earth Astries ve Dalbit dahil olmak üzere diğer APT gruplarıyla önemli örtüşmeler göstermektedir.
Cisco Talos raporuna göre, bu gruplar benzer coğrafyaları ve endüstri sektörlerini hedefledikleri için bilinir ve operasyonlarında stratejik uyum olduğunu düşündürmektedir.
UAT-5918 tarafından FRP, FSCAN ve SPEY gibi araçların kullanılması, tropik Trooper ve ünlü serçenin kullandığı araçları yansıtıyor.
Bununla birlikte, Lazagne ve Snetcracker gibi bazı araçlar, UAT-5918 tarafından olası münhasır kullanımı gösteren bu diğer gruplarla herkese açık olarak ilişkilendirilmemiştir.
UAT-5918’in tehditlerine karşı koymak için kuruluşlar çeşitli güvenlik önlemleri kullanabilir.
Cisco Secure Uç noktası gibi araçları kullanmak kötü amaçlı yazılım yürütmeyi önleyebilirken, Cisco Secure E -posta kötü amaçlı e -postaları engelleyebilir.
Cisco güvenli güvenlik duvarı ve kötü amaçlı yazılım analizi, kötü niyetli etkinlikleri tespit edebilir ve analiz edebilir ve bu tür tehditlere karşı kapsamlı bir koruma sağlayabilir.
N-Day güvenlik açıklarını ele almak için sağlam yama yönetiminin uygulanması, UAT-5918 ve benzer APT gruplarının ilk erişimini önlemede çok önemlidir.
Tehdit İstihbarat Araması ile Gerçek Dünyanın Kötü Amaçlı Bağlantıları ve Kimlik Yardım Saldırılarını Araştırın-Ücretsiz Deneyin