СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
8 мая
#ИБ

UAT-8302 атакует госорганизации Южной Америки и Европы

Группировка UAT-8302, связанная с Китаем, с конца 2024 года ведет атаки против государственных организаций в South America, а в 2025 году расширила активность на southeastern Europe. По данным Cisco Talos, после успешной компрометации целей злоумышленники разворачивают разнообразное пользовательское ВПО, опираясь на инструменты, ранее замеченные в операциях других известных Chinese APT-группировок.

Набор ВПО: от NetDraft до CloudSorcerer v3

Исследователи зафиксировали несколько семейств ВПО, которые используются UAT-8302. Среди них особенно выделяется бэкдор на базе .NET под названием NetDraft. По оценке аналитиков, он является вариантом семейства FinalDraft/SquidDoor, уже связанного с другими Chinese хакерскими группировками.

Еще один заметный инструмент в арсенале злоумышленников — CloudSorcerer, прежде всего его версия v3. Эта модификация также применялась в атаках на российские государственные цели.

Помимо этого, UAT-8302 использует VSHELL в сочетании с новым стейджером на базе Rust под названием SNOWRUST, а также более раннюю версию SNOWLIGHT. Оба инструмента применяются для выполнения последующих этапов загрузки полезной нагрузки.

Как работает цепочка атаки

Методология UAT-8302 отличается высокой степенью подготовки. На ранней стадии группа проводит масштабную разведку, используя пользовательские скрипты и инструменты с открытым исходным кодом, включая Impacket. Это позволяет злоумышленникам исследовать сети и готовить их к эксплуатации.

Особое внимание UAT-8302 уделяет сбору учетных данных и другой критически важной информации. Для этого применяются скрипты, которые сканируют:

  • данные Active Directory;
  • журналы событий;
  • общие ресурсы SMB;
  • информацию для входа в систему.

По данным Cisco Talos, стратегия развертывания вредоносной инфраструктуры у группы сложна и многоступенчата. Злоумышленники используют легитимные исполняемые файлы для подгрузки вредоносных DLL, которые и несут полезную нагрузку.

Техника DLL loading и вспомогательные компоненты

В случае NetDraft вредоносный функционал реализуется в связке с вспомогательной библиотекой FringePorch. Этот компонент используется для выполнения команд, управления файлами и запуска плагинов, получаемых с command-and-control сервера.

CloudSorcerer v3, в свою очередь, применяет легитимные файлы для загрузки своей вредоносной DLL. Дальнейшее поведение зависит от контекста процесса, с которым взаимодействует библиотека: в одних случаях она собирает системную информацию, в других — выполняет команды.

Кроме того, UAT-8302 использует Draculoader — универсальный загрузчик shellcode. Для закрепления и дальнейшего доступа группировка нередко разворачивает инструменты для создания proxy-серверов или настраивает VPN-клиенты на скомпрометированных системах.

Операционные пересечения с другими Chinese угрозами

Аналитики отмечают заметную степень операционного пересечения UAT-8302 с другими злоумышленниками, связанными с Китаем. Это указывает на возможную общую среду, в которой действуют различные участники киберпреступной и шпионской активности.

Разнообразие используемого ВПО и сочетание легитимных инструментов с вредоносными компонентами подтверждают стремление группы к долгосрочному доступу к целям.

По оценке экспертов, UAT-8302 демонстрирует продвинутые оперативные возможности, включая механизмы управления через легитимные сервисы и масштабную эксфильтрацию данных. Такой подход повышает устойчивость инфраструктуры и усложняет обнаружение атак.

Что это означает

Активность UAT-8302 показывает, что Chinese APT-группировки продолжают активно развивать свои инструменты и тактики, расширяя географию операций и повышая уровень скрытности. Для государственных организаций это означает сохраняющийся риск целевых атак, нацеленных не только на первоначальный доступ, но и на длительное присутствие в инфраструктуре.

В условиях растущей сложности таких кампаний ключевым фактором защиты остаются раннее обнаружение аномалий, контроль за использованием легитимных бинарных файлов и постоянный мониторинг признаков компрометации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: