СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
16 января
#ИБ#Инфра

UAT-8837: APT, связанная с Китаем, атакует инфраструктуру через CVE-2025-53690

Новая сложная целенаправленная угроза под обозначением UAT-8837, связанная аналитиками с китайскими APT-акторами, в настоящее время нацелена на критически важные секторы инфраструктуры в Северной Америке. По оценке Cisco Talos, группа действует как минимум с 2025 года и фокусируется на получении первоначального доступа к ценным организациям. Несмотря на кажущийся спорадический характер атак, их намерения носят систематический и стратегический характер.

Кто такая UAT-8837

Cisco Talos оценивает группу «со средней степенью уверенности», основываясь на тактиках, техниках и процедурах (TTP), которые совпадают с известными китайскими акторами APT.

«Cisco Talos оценивает эту группу со средней степенью уверенности, основываясь на их тактиках, техниках и процедурах (TTP), которые демонстрируют совпадения с известными китайскими акторами APT.»

Методы проникновения и используемые уязвимости

Для доступа к целевым средам UAT-8837 использует как n-day, так и zero-day уязвимости. В частности, примечателен недавний кейс с использованием уязвимости ViewState Deserialization zero-day в продуктах SiteCore — CVE-2025-53690.

Инструменты и действия в ходе вторжения

После получения начального доступа группа разворачивает разнообразный набор инструментов и адаптирует их в ответ на детектирование средствами безопасности. К ключевым инструментам и техникам относятся:

  • GoTokenTheft — кража токенов доступа для выполнения команд с повышенными привилегиями;
  • Earthworm — утилита сетевого туннелирования, часто используемая китайскоязычными злоумышленниками, для доступа к внутренним системам через удалённые серверы злоумышленников;
  • DWAgent — инструмент удалённого администрирования, применяемый для поддержки доступа к скомпрометированным конечным точкам и развертывания дополнительного ПО;
  • SharpHound — сбор разведданных в Active Directory (AD);
  • Различные бинарники на базе Impacket для удалённого выполнения и перемещения по сети;
  • GoExec — средство удалённого выполнения команд на конечных точках;
  • Rubeus — набор для злоупотреблений Kerberos;
  • Certipy — инструмент для поиска и предотвращения злоупотреблений сертификатами/advertising в AD;
  • Использование системных команд и утилит: setspn для перечисления SPN, а также dsget и dsquery для получения конкретных данных из Active Directory.

Поддержание доступа и сбор данных

UAT-8837 применяет несколько приёмов для поддержания долгосрочного доступа и разведки:

  • Добавление бэкдоров к существующим учетным записям пользователей и включение этих учётных записей в локальные группы для сохранения доступа;
  • Клавиатурный ввод (keylogging) для извлечения конфиденциальной информации, включая учетные данные;
  • Интенсивная разведка Active Directory с использованием SharpHound, Certipy и системных команд для выявления нужных целей и прав доступа;
  • Адаптивная смена инструментов и их вариантов в ответ на обнаружение средствами безопасности.

Последствия для инфраструктуры и выводы

Целенаправленность на критические секторы и использование сложного набора инструментов и zero-day уязвимостей делает UAT-8837 рискованной и гибкой угрозой. Даже при «спорадических» инцидентах их действия имеют признаки долгосрочной, стратегической кампании по сбору привилегированных доступов и разведданных в целевых организациях.

Практические рекомендации

Исходя из описанных TTP, логично уделить приоритетное внимание базовым, но эффективным мерам защиты:

  • Оперативное патчение известных уязвимостей и контроль установки обновлений для продуктовой инфраструктуры (особое внимание SiteCore и компонентам, обрабатывающим ViewState);
  • Мониторинг аномалий, связанных с похищением токенов и нетипичной активностью Remote Administration (DWAgent и тому подобные);
  • Аудит и контроль добавления учётных записей в локальные группы, а также поиск незаявленных бэкдоров;
  • Активный мониторинг и охота на признаки использования Earthworm и других туннелирующих инструментов;
  • Контроль и защита Kerberos-процессов (Rubeus) и сертификатных операций (Certipy);
  • Регулярный сбор и анализ логов Active Directory, ограничение прав по принципу наименьших привилегий.

UAT-8837 демонстрирует, что даже группы с «спорадической» видимостью могут представлять серьёзную угрозу стратегического характера. Организациям критической инфраструктуры следует относиться к таким инцидентам как к системному риску и укреплять как технические, так и операционные барьеры против современной кибершпионажа.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: