Admin
Администратор
Здравствуйте, мы ваши новые админы. UAT-8837 берёт под контроль сети в Северной Америке.
Триллер о том, как превратить чужую собственность в личную игровую площадку.
С начала 2025 года специалисты Cisco Talos фиксируют активность группы UAT-8837, которую связывают с Китаем на основе схожих приёмов и инфраструктуры с другими известными операторами из этого региона. Целями атак стали организации из критически важных секторов в Северной Америке. По мнению аналитиков, основная задача UAT-8837 — получение начального доступа к системам с высоким уровнем ценности. После проникновения группа выстраивает несколько каналов для дальнейшего контроля над инфраструктурой.
Для первичного доступа используются как уязвимости в программном обеспечении, так и украденные учётные данные. Последняя атака была проведена с использованием уязвимости нулевого дня CVE-2025-53690 в продуктах SiteCore. После успешного проникновения злоумышленники начинают сбор информации о системе и пользователях, отключают защитные механизмы и запускают команды через консоль. Для хранения инструментов используются временные и публичные директории операционной системы.
UAT-8837 применяет широкий набор средств, часто меняя их версии, чтобы обойти защиту. Среди используемых программ — GoTokenTheft, предназначенная для кражи токенов доступа, Earthworm для создания туннелей между внутренними системами и внешними серверами, DWAgent для удалённого управления и SharpHound, собирающий данные об Active Directory.
Также фиксировалось использование инструментов Impacket, GoExec и Rubeus, позволяющих выполнять команды от имени других пользователей и взаимодействовать с Kerberos. Некоторые утилиты, например Earthworm, часто ассоциируются с другими группами, использующими китайский язык.
На скомпрометированных устройствах обнаруживались следы работы с утилитами для исследования доменов и политик безопасности — dsquery, dsget, secedit, setspn и другие. Использование встроенных инструментов системы позволяет группе действовать незаметно. Дополнительно устанавливались программы, предоставляющие доступ к системам в обход основной инфраструктуры.
Отдельного внимания заслуживает случай, когда группа скопировала динамические библиотеки, связанные с продуктами жертвы. Это может свидетельствовать о планах внедрения вредоносного кода в обновления или использовании этих компонентов для последующего анализа уязвимостей. Такие действия создают риски компрометации цепочек поставок.
Кроме применения утилит и команд, UAT-8837 создаёт новые учётные записи и добавляет себя в группы с расширенными правами, обеспечивая доступ даже в случае блокировки основного канала. Злоумышленники также тестируют различные версии инструментов, чтобы выбрать те, которые не определяются системами защиты.
Для обнаружения и блокировки действий этой группы специалисты Cisco рекомендуют использовать сигнатуру ClamAV под именем Win.Malware.Earthworm, а также правила Snort с номерами 61883, 61884, 63727, 63728 и 300585. Хотя группа постоянно адаптирует методы, применение этих правил может повысить уровень защиты.
