Эволюция атак UTG-Q-015: уязвимости в госструктурах и блокчейне
Хакерская группа UTG-Q-015 меняет тактику атак на правительственные и корпоративные сети
В недавнем отчете подробно описываются изменения в стратегиях и методах работы хакерской группы UTG-Q-015, которая с декабря 2024 года усилила активность, нацеливаясь на государственные и корпоративные веб-платформы. Группа известна использованием как ранее неизвестных уязвимостей (zero-day), так и уже задокументированных эксплойтов (Nday), что позволяет ей эффективно обходить защитные механизмы и наносить ущерб критическим инфраструктурам.
Обострение активности после инцидента с CSDN
Повышение активности произошло после декабрьского инцидента, связанного с CSDN. С этого момента UTG-Q-015 значительно усложнила свои методы атак, усилив фокус на технологических системах блокчейна и финансовых организациях. Это указывает на стратегическое расширение их мишеней и усиление технических возможностей группы.
Используемые уязвимости и методы
К марту 2025 года хакеры внедрили специализированную сеть сканирующих узлов, что позволило эффективно выявлять уязвимые серверы государственного сектора. В числе применяемых уязвимостей:
- CVE-2021-38647 — уязвимость нулевого дня;
- CVE-2017-12611 и CVE-2017-9805 — уязвимости класса Nday.
Использование этих эксплойтов дало возможность получить несанкционированный доступ к системам, минуя традиционные барьеры безопасности.
Многогранность атак
UTG-Q-015 применяет комплексный подход:
- Атаки на веб-серверы через эксплойты;
- Фишинговые кампании, в рамках которых пользователям предлагается загрузить вредоносные файлы;
- Внедрение облегченных сетевых бэкдоров, способных выполнять команды и загружать файлы удаленно.
Особого внимания заслуживает использование вредоносного ПО, маскирующего обмен данными через мгновенные сообщения под обновления программного обеспечения, что позволяет обходить антивирусные и сетевые фильтры.
Цели атак: финансовые учреждения и исследовательские инфраструктуры
Группа успешно атакует финансовые подразделения, сначала получая доступ к пограничным серверам через уязвимости в интернете, затем с помощью вредоносной информации, передаваемой через IM-протоколы. Среди используемых бэкдоров — Xnote, Ghost и Vshell. Особенно уязвимыми оказались исследовательские комплексы в области искусственного интеллекта, которые подверглись эксфильтрации данных и удаленному управлению вредоносными компонентами.
Особое внимание — уязвимость в ComfyUI-Manager
В отчете подчеркивается тревожный факт использования уязвимости CVE-2023-48022, связанной с плагином ComfyUI-Manager. Это позволяло злоумышленникам:
- Непреднамеренно распространять вредоносные файлы моделей ИИ;
- Получать доступ к конфиденциальным серверам, задействованным в исследованиях;
- Использовать дистанционный доступ к командной строке и запускать вредоносные сценарии;
- Создавать дополнительные бэкдоры для долгосрочного контроля.
Такой вектор атак заставляет обратить внимание на необходимость тщательного аудита используемых плагинов и компонентов в инфраструктурах, связанных с искусственным интеллектом.
Выводы и рекомендации
Активность UTG-Q-015 демонстрирует растущую сложность современных киберугроз, сочетающих в себе эксплойты, социальную инженерию и продвинутые методы скрытого внедрения вредоносного ПО. Для противодействия таким атакам рекомендуется:
- Постоянный мониторинг и патчинг серверов от известных и zero-day уязвимостей;
- Проведение регулярных обучающих программ по распознаванию фишинговых атак для сотрудников;
- Обеспечение многофакторной аутентификации и жестких политик безопасности при доступе к критическим системам;
- Анализ используемых плагинов и компонентов на предмет возможных уязвимостей;
- Использование механизмов поведенческого анализа и IDS/IPS для своевременного обнаружения аномалий.
Оставаясь в курсе подобных угроз и своевременно реагируя на них, организации смогут существенно снизить риски потери данных и нарушения работы своих систем.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
