UAT-8302 là một nhóm đe dọa sử dụng công cụ mã nguồn mở kết hợp với malware tùy biến để thực hiện tấn công mạng và đánh cắp dữ liệu từ các cơ quan chính phủ tại Nam Mỹ và Đông Nam Âu. Hoạt động của nhóm được ghi nhận từ cuối năm 2024 và tiếp tục tăng cường trong năm 2025, với mục tiêu xâm nhập, ẩn mình và thu thập thông tin trong thời gian dài. Đây là một trường hợp điển hình của threat intelligence liên quan đến rủi ro bảo mật ở môi trường hạ tầng nhạy cảm.
Phương thức xâm nhập và duy trì hiện diện
Điểm đáng chú ý của chiến dịch này là cách nhóm pha trộn dịch vụ đám mây hợp pháp, công cụ sẵn có và thành phần mã độc riêng để khiến hoạt động lưu lượng trông giống truy cập bình thường. Cách tiếp cận này làm cho việc phát hiện tấn công và phân tách giữa hoạt động hợp lệ với xâm nhập trái phép trở nên khó khăn hơn.
Nhóm thể hiện mức độ kiên nhẫn cao, tiến hành trinh sát sâu trên từng endpoint trước khi mở rộng sang các hệ thống khác trong môi trường mục tiêu. Trình tự hoạt động này phù hợp với mô hình tấn công có chủ đích, nhắm vào hạ tầng chính phủ giá trị cao.
Khảo sát nội bộ sau khi xâm nhập
Sau khi có quyền truy cập ban đầu, UAT-8302 thu thập thông tin xác thực, khai thác dữ liệu Active Directory và ánh xạ toàn bộ môi trường trước khi triển khai thêm malware. Nhóm sử dụng các công cụ như Impacket, script PowerShell tùy biến và các công cụ quét mã nguồn mở để liệt kê dịch vụ, endpoint và đường di chuyển tiếp theo.
Trong các hoạt động này, nhóm ưu tiên hiểu rõ phạm vi hệ thống đã kiểm soát trước khi chuyển sang bước duy trì truy cập hoặc đánh cắp dữ liệu.
Công cụ và chuỗi tấn công
Các công cụ được quan sát cho thấy UAT-8302 sở hữu một bộ công cụ tương đối đa dạng. Nhóm triển khai nhiều biến thể backdoor và stager, đồng thời tận dụng kỹ thuật DLL side-loading để nạp mã độc vào tiến trình hợp lệ trên hệ thống bị xâm nhập.
Một trong những thành phần nổi bật là NetDraft, backdoor dựa trên .NET, có liên hệ với dòng FinDraft và SquidDoor. NetDraft được phát tán thông qua cơ chế một file thực thi hợp lệ tải DLL độc hại, sau đó DLL giải mã và chạy payload trong tiến trình hiện hữu.
NetDraft và kênh điều khiển
NetDraft sử dụng Microsoft Graph API để giao tiếp với máy chủ command-and-control dựa trên OneDrive. Cách làm này giúp lưu lượng điều khiển hòa lẫn vào traffic đám mây thông thường, giảm khả năng bị phát hiện bởi các hệ thống giám sát truyền thống.
Talos theo dõi thư viện hỗ trợ nhúng của NetDraft dưới tên FringePorch. Kiến trúc này cho thấy nhóm chú trọng vào khả năng ẩn mình hơn là độ phức tạp bề mặt của payload.
CloudSorcerer, SNOWRUST và các biến thể khác
CloudSorcerer phiên bản 3 thay đổi hành vi tùy theo tiến trình mà nó được tiêm vào. Nếu chạy trong dnapimg.exe, malware thu thập thông tin hệ thống và chuyển sang explorer.exe để nhận lệnh qua named pipe.
Nếu chạy trong spoolsv.exe, nó kết nối tới một kho trên GitHub để lấy thông tin điều khiển. Hành vi thay đổi theo ngữ cảnh này làm cho phát hiện xâm nhập bằng công cụ bảo mật thông thường trở nên khó khăn hơn.
Talos cũng ghi nhận SNOWRUST, một biến thể viết bằng Rust của SNOWLIGHT stager, cùng các lần triển khai đồng thời SNAPPYBEE và ZingDoor trong một số vụ xâm nhập.
Công cụ mã nguồn mở và di chuyển nội bộ
UAT-8302 phụ thuộc đáng kể vào các công cụ mã nguồn mở khi di chuyển trong mạng đã bị xâm nhập. Sau khi vào được hệ thống, nhóm chạy các công cụ quét như gogo, naabu, httpx và PortQry để xác định dịch vụ và phát hiện thêm hệ thống có thể pivot.
Quy trình này giúp nhóm lập bản đồ bề mặt tấn công nội bộ và mở rộng quyền kiểm soát theo từng bước, thay vì khai thác ồ ạt.
Thu thập thông tin xác thực
Thông tin đăng nhập được trích xuất từ MobaXterm sessions và Active Directory bằng các công cụ như adconnectdump.py và SharpGetUserLoginRDP. Dữ liệu này hỗ trợ cho việc di chuyển ngang và duy trì truy cập lâu dài.
Để giữ quyền truy cập, nhóm triển khai Stowaway, một công cụ proxy tunneling viết bằng tiếng Trung giản thể, nhằm chuyển lưu lượng bên ngoài vào các máy đã nhiễm trong môi trường doanh nghiệp. SoftEther VPN cũng được quan sát trong chuỗi công cụ.
IOC và dấu hiệu cần theo dõi
Nội dung nguồn không cung cấp danh sách IP, domain hay hash cụ thể. Tuy nhiên, các IOC hành vi và công cụ sau đây có thể hỗ trợ phát hiện xâm nhập trong môi trường giám sát:
- DLL side-loading từ một file thực thi hợp lệ.
- Lưu lượng bất thường tới OneDrive và GitHub.
- Tiến trình
dnapimg.exehoặcspoolsv.execó dấu hiệu tiêm mã. - Named pipe bất thường giữa
CloudSorcerervàexplorer.exe. - Hoạt động quét nội bộ bằng naabu, httpx, PortQry.
- Phiên MobaXterm chứa thông tin xác thực bị truy xuất trái phép.
- Sự xuất hiện của Stowaway, SoftEther VPN, NetDraft, SNOWRUST.
Hành vi sau xâm nhập và tác động hệ thống
Chuỗi hoạt động sau xâm nhập cho thấy mục tiêu chính là đánh cắp dữ liệu và duy trì hiện diện bí mật trong hệ thống. Nhóm thu thập credentials, điều tra Active Directory, mở rộng sang các endpoint khác và thiết lập các kênh liên lạc khó bị phát hiện.
Ảnh hưởng thực tế của cuộc tấn công mạng này nằm ở việc hệ thống bị xâm nhập có thể bị lộ thông tin nhạy cảm, bị kiểm soát kéo dài và trở thành điểm trung chuyển cho các hoạt động di chuyển nội bộ tiếp theo.
Biện pháp giám sát và phát hiện
Các đội vận hành nên giữ endpoint detection luôn được cập nhật để nhận diện dấu hiệu từ kỹ thuật side-loading, tiêm tiến trình và lưu lượng cloud bất thường. Việc giám sát outbound traffic tới OneDrive và GitHub cần được đưa vào quy trình kiểm tra định kỳ.
Đồng thời, cần rà soát các scheduled task, hành vi nạp DLL và các dấu hiệu bất thường trong tiến trình hệ thống trên toàn bộ máy quản lý.
Tài liệu tham chiếu có thể xem tại Cisco Talos và trang phân tích hệ thống phát hiện mối đe dọa của CISA tại cisa.gov.
Điểm kỹ thuật đáng chú ý
- UAT-8302 dùng kết hợp malware tùy biến và công cụ mã nguồn mở.
- NetDraft được phát tán qua DLL side-loading.
- Microsoft Graph API và OneDrive được tận dụng làm kênh C2.
- CloudSorcerer thay đổi hành vi theo tiến trình bị tiêm.
- Stowaway và SoftEther VPN hỗ trợ duy trì truy cập.
- gogo, naabu, httpx, PortQry dùng cho trinh sát và quét nội bộ.
Giám sát IOC và tương quan sự kiện
Trong bối cảnh tin tức bảo mật liên quan đến các chiến dịch xâm nhập dài hạn, việc tương quan log từ endpoint, proxy và cloud audit là bước cần thiết để phát hiện sớm hành vi bất thường. Đặc biệt, lưu lượng đến dịch vụ đám mây hợp pháp không nên được mặc định là an toàn nếu đi kèm dấu hiệu nạp DLL, named pipe lạ hoặc tiến trình hệ thống bị tiêm mã.
Các tổ chức nên ưu tiên phát hiện các chuỗi hành vi thay vì chỉ tìm một IOC đơn lẻ, vì nhóm này dùng nhiều thành phần thay đổi theo môi trường để làm nhiễu phát hiện tấn công và kéo dài thời gian tồn tại trong hệ thống.
