Здравствуйте, мы ваши новые админы. UAT-8837 берёт под контроль сети в Северной Америке
NewsMakerТриллер о том, как превратить чужую собственность в личную игровую площадку.
С начала 2025 года специалисты Cisco Talos фиксируют активность группы UAT-8837, которую связывают с Китаем на основе схожих приёмов и инфраструктуры с другими известными операторами из этого региона. Целями атак стали организации из критически важных секторов в Северной Америке. По мнению аналитиков, основная задача UAT-8837 — получение начального доступа к системам с высоким уровнем ценности. После проникновения группа выстраивает несколько каналов для дальнейшего контроля над инфраструктурой.
Для первичного доступа используются как уязвимости в программном обеспечении, так и украденные учётные данные. Последняя атака была проведена с использованием уязвимости нулевого дня CVE-2025-53690 в продуктах SiteCore. После успешного проникновения злоумышленники начинают сбор информации о системе и пользователях, отключают защитные механизмы и запускают команды через консоль. Для хранения инструментов используются временные и публичные директории операционной системы.
UAT-8837 применяет широкий набор средств, часто меняя их версии, чтобы обойти защиту. Среди используемых программ — GoTokenTheft, предназначенная для кражи токенов доступа, Earthworm для создания туннелей между внутренними системами и внешними серверами, DWAgent для удалённого управления и SharpHound, собирающий данные об Active Directory.
Также фиксировалось использование инструментов Impacket, GoExec и Rubeus, позволяющих выполнять команды от имени других пользователей и взаимодействовать с Kerberos. Некоторые утилиты, например Earthworm, часто ассоциируются с другими группами, использующими китайский язык.
С начала 2025 года специалисты Cisco Talos фиксируют активность группы UAT-8837, которую связывают с Китаем на основе схожих приёмов и инфраструктуры с другими известными операторами из этого региона. Целями атак стали организации из критически важных секторов в Северной Америке. По мнению аналитиков, основная задача UAT-8837 — получение начального доступа к системам с высоким уровнем ценности. После проникновения группа выстраивает несколько каналов для дальнейшего контроля над инфраструктурой.
Для первичного доступа используются как уязвимости в программном обеспечении, так и украденные учётные данные. Последняя атака была проведена с использованием уязвимости нулевого дня CVE-2025-53690 в продуктах SiteCore. После успешного проникновения злоумышленники начинают сбор информации о системе и пользователях, отключают защитные механизмы и запускают команды через консоль. Для хранения инструментов используются временные и публичные директории операционной системы.
UAT-8837 применяет широкий набор средств, часто меняя их версии, чтобы обойти защиту. Среди используемых программ — GoTokenTheft, предназначенная для кражи токенов доступа, Earthworm для создания туннелей между внутренними системами и внешними серверами, DWAgent для удалённого управления и SharpHound, собирающий данные об Active Directory.
Также фиксировалось использование инструментов Impacket, GoExec и Rubeus, позволяющих выполнять команды от имени других пользователей и взаимодействовать с Kerberos. Некоторые утилиты, например Earthworm, часто ассоциируются с другими группами, использующими китайский язык.