Bí mật về nhóm đe dọa tiên tiến UAT-5918

Tổng quan về UAT-5918

• Đối tượng mục tiêu: UAT-5918 là một nhóm đe dọa tiên tiến (APT) nhằm vào các thực thể ở Đài Loan, đặc biệt là những lĩnh vực hạ tầng thiết yếu như viễn thông, chăm sóc sức khỏe và công nghệ thông tin.
• Động lực: Nhóm này được thúc đẩy bởi việc thiết lập quyền truy cập lâu dài để đánh cắp thông tin và thu thập thông tin xác thực.

Truy cập ban đầu

• Phương pháp khai thác: UAT-5918 có được quyền truy cập ban đầu bằng cách khai thác các lỗ hổng đã biết, hay còn gọi là lỗ hổng N-day, trong các máy chủ web và ứng dụng không được vá, bị lộ ra Internet.
• Các lỗ hổng cụ thể: Nhóm này nhắm vào các lỗ hổng như CVE-2024-4321 và CVE-2024-5879, cho phép thực thi mã từ xa và tăng quyền truy cập.

Các hoạt động sau khi xâm nhập

• Các công cụ sử dụng: Sau khi có được quyền truy cập, UAT-5918 thực hiện các hoạt động hậu xâm nhập bằng cách sử dụng nhiều công cụ mã nguồn mở, bao gồm web shell như Chopper, và các công cụ mạng như FRPC, FScan, In-Swor, Earthworm và Neo-reGeorg.
• Di chuyển ngang: Nhóm sử dụng các công cụ như Mimikatz, LaZagne và các công cụ khai thác thông tin xác thực trình duyệt để thu thập thông tin xác thực của người dùng cục bộ và miền. Họ cũng sử dụng Impacket và WMIC để di chuyển ngang qua RDP và PowerShell.
• Duy trì quyền truy cập: Kẻ tấn công tạo các tài khoản người dùng quản trị mới để tạo thêm kênh truy cập và duy trì quyền truy cập liên tục trong môi trường của nạn nhân.

Trùng lặp với các nhóm APT khác

• Trùng lặp TTP: Các phương pháp, kỹ thuật và quy trình (TTP) của UAT-5918 cho thấy sự trùng lặp đáng kể với các nhóm APT khác như Volt Typhoon, Flax Typhoon, Earth Estries và Dalbit. Các công cụ của UAT-5918 tương tự với của Tropic Trooper và Famous Sparrow, nhưng một số công cụ như LaZagne và SNetCracker là độc quyền của UAT-5918.

Biện pháp đối phó

• Quản lý bản vá: Thực hiện quản lý bản vá hiệu quả để giải quyết các lỗ hổng N-day là điều cần thiết để ngăn chặn việc truy cập ban đầu của UAT-5918 và các nhóm APT tương tự.
• Các biện pháp bảo mật: Sử dụng các công cụ như Cisco Secure Endpoint, Cisco Secure Email, Cisco Secure Firewall và Malware Analytics có thể giúp ngăn chặn việc thực thi phần mềm độc hại, chặn email độc hại, phát hiện và phân tích hoạt động độc hại.

Kết luận

UAT-5918 đại diện cho một kẻ tấn công tinh vi khai thác các lỗ hổng đã biết để có được quyền truy cập ban đầu và sau đó thực hiện các hoạt động hậu xâm nhập để thiết lập quyền truy cập liên tục và thu thập thông tin xác thực. Các tổ chức có thể giảm thiểu những mối đe dọa này bằng cách thực hiện quản lý bản vá mạnh mẽ, sử dụng các công cụ bảo mật tiên tiến và giám sát các mô hình lưu lượng mạng đáng ngờ.