Pemburu ancaman telah menemukan aktor ancaman baru bernama UAT-5918 yang telah menyerang entitas infrastruktur penting di Taiwan sejak setidaknya 2023.
“UAT-5918, seorang aktor ancaman yang diyakini termotivasi dengan membangun akses jangka panjang untuk pencurian informasi, menggunakan kombinasi kerang web dan alat-alat open-source untuk melakukan kegiatan pasca-kompromi untuk membangun kegigihan di lingkungan korban untuk pencurian informasi dan pemanenan kredensial,” kata peneliti Cisco Talos.
Selain infrastruktur kritis, beberapa vertikal yang ditargetkan lainnya termasuk teknologi informasi, telekomunikasi, akademisi, dan perawatan kesehatan.
Dinilai sebagai kelompok ancaman persisten canggih (APT) yang ingin membangun akses persisten jangka panjang di lingkungan korban, UAT-5918 dikatakan berbagi tumpang tindih taktis dengan beberapa kru peretasan Tiongkok yang dilacak sebagai topan volt, topan rami, polisi tropis, estri Bumi, dan Dalbit.
Rantai serangan yang diatur oleh grup yang melibatkan mendapatkan akses awal dengan mengeksploitasi kelemahan keamanan n-hari di web dan server aplikasi yang tidak tertandingi yang terpapar ke internet. Foothold kemudian digunakan untuk menjatuhkan beberapa alat open-source untuk melakukan pengintaian jaringan, pengumpulan informasi sistem, dan pergerakan lateral.
Tradecraft pasca-eksploitasi UAT-5918 melibatkan penggunaan proxy reverse cepat (FRP) dan Neo-Regeorge untuk mengatur terowongan proxy terbalik untuk mengakses titik akhir yang dikompromikan melalui host jarak jauh yang dikendalikan oleh penyerang.
Aktor ancaman juga telah memanfaatkan alat-alat seperti Mimikatz, Lazagne, dan ekstraktor berbasis browser yang dijuluki browserDatalite untuk memanen kredensial untuk lebih jauh menggali jauh ke dalam lingkungan target melalui RDP, WMIC, atau dampak. Juga digunakan adalah cangkang web chopper, crowdoor, dan sparrowdoor, dua di antaranya sebelumnya telah digunakan oleh kelompok ancaman lain yang disebut Earth Estries.
BrowserDataLite, khususnya, dirancang untuk mencuri informasi login, cookie, dan riwayat penelusuran dari browser web. Aktor ancaman juga terlibat dalam pencurian data sistematis dengan menyebutkan drive lokal dan bersama untuk menemukan data yang menarik.
“Kegiatan yang kami monitor menunjukkan bahwa kegiatan pasca-kompromi dilakukan secara manual dengan tujuan utama adalah pencurian informasi,” kata para peneliti. “Jelas, itu juga termasuk penyebaran cangkang web di setiap sub-domain yang ditemukan dan server yang dapat diakses internet untuk membuka beberapa titik masuk ke organisasi korban.”
