Китайская группировка UAT-8837 атакует критическую инфраструктуру Северной Америки

Для проникновения в целевые сети злоумышленники используют два основных метода: эксплуатацию уязвимостей на серверах или применение скомпрометированных учётных данных. После получения первоначального доступа UAT-8837 активно применяет инструменты с открытым исходным кодом для сбора конфиденциальной информации. В частности, они крадут данные для входа, настройки безопасности, а также информацию о домене и службе каталогов Active Directory (AD). Этот сбор данных позволяет создать несколько каналов для последующего доступа к жертве. В своих операциях после взлома группировка использует комбинацию инструментов, включая Earthworm, Sharphound, DWAgent и Certipy.

Примечательно, что TTP, инструменты и удалённая инфраструктура, связанные с UAT-8837, также были замечены при недавней эксплуатации уязвимости CVE-2025-53690. Эта уязвимость нулевого дня (zero-day) типа десериализации ViewState была обнаружена в продуктах SiteCore. Данный факт указывает на то, что у группировки, возможно, есть доступ к эксплойтам для уязвимостей нулевого дня. После получения доступа злоумышленники приступают к первоначальной разведке. Они выполняют серию стандартных команд, таких как "tasklist", "netstat" и "whoami", чтобы оценить окружение. Затем UAT-8837 отключает настройку RestrictedAdmin для протокола удалённого рабочего стола (RDP), что позволяет им получать учётные данные для удалённого доступа к другим устройствам в сети.

Активность злоумышленников на заражённой системе часто ведётся через командную строку "cmd.exe". Они загружают различные артефакты в определённые системные директории, которые используются как промежуточные площадки. Например, файлы могут размещаться на рабочем столе пользователя, в папках "C:\windows\temp\" или "C:\windows\public\music". Группировка применяет широкий спектр инструментов, что может быть связано с их постоянным обнаружением системами безопасности. Когда один инструмент блокируется, например, решением Cisco Secure Endpoint (CSE), операторы переключаются на другой, пытаясь найти вариант, который не вызывает срабатывания защитных механизмов.

Среди ключевых инструментов в арсенале UAT-8837 выделяется утилита GoTokenTheft, написанная на GoLang. Она предназначена для кражи токенов доступа, что позволяет выполнять команды с повышенными привилегиями. Кроме того, группировка активно использует туннелирующее средство Earthworm. Оно неоднократно применялось китаеязычными угрозами для создания обратных туннелей, которые связывают внутренние конечные точки жертвы с контролируемой злоумышленниками инфраструктурой. Для упрощения удалённого администрирования на скомпрометированные системы загружается DWAgent. Этот инструмент облегчает доступ к конечной точке и позволяет доставлять дополнительное вредоносное ПО (англ. payload).

Для сбора информации об Active Directory злоумышленники загружают инструмент Sharphound. Когда попытки использовать бинарные файлы на основе фреймворка Impacket блокируются, они прибегают к скрипту Invoke-WMIExec для выполнения команд с повышенными правами. В одном из случаев, после серии неудач с другими инструментами, группировка развернула GoExec - средство удалённого выполнения на GoLang. Оно использовалось для запуска команд на других подключённых системах внутри сети жертвы. Также наблюдались попытки загрузить и выполнить SharpWMI, которые были успешно пресечены защитными системами.

Для злоупотребления службой Kerberos может применяться инструментарий Rubeus, написанный на C#. Другой важный инструмент - Certipy - используется для разведки и эксплуатации Active Directory, в частности, связанных с сертификатами. В ходе операций UAT-8837 выполняет ряд команд для извлечения конфиденциальных данных. Например, с помощью "findstr" они ищут пароли в политиках групповой безопасности. Конфигурация безопасности системы экспортируется с помощью утилиты "secedit", что даёт злоумышленникам представление о политиках паролей, правах пользователей и настройках аудита.

В одной из организаций-жертв группировка выгрузила библиотеки DLL, относящиеся к продуктам компании. Это вызывает опасения, что эти библиотеки могут быть впоследствии троянизированы. Подобные действия создают предпосылки для компрометации цепочек поставок и обратной разработки с целью поиска уязвимостей в программном обеспечении жертвы. Для разведки в домене активно применяются стандартные сетевые команды, такие как "net group" и "net user". Также используется команда "setspn" для запроса данных о субъектах-службах (SPN, англ. Service Principal Names) из Active Directory.

Помимо стандартных инструментов Windows, UAT-8837 задействует собственные утилиты, работающие по принципу "живи за счёт земли" (LOTL, англ. Living-Off-The-Land). Например, в некоторых случаях они развёртывали "dsget" и "dsquery" для детального запроса свойств объектов в Active Directory. Для обеспечения устойчивого доступа (persistence) злоумышленники создают в скомпрометированном окружении новые учётные записи пользователей. В других инцидентах они добавляли существующие учётные записи в локальные группы администраторов, усиливая свой контроль над системой. Комбинируя эксплуатацию уязвимостей, мощный арсенал инструментов и методичную разведку, группировка UAT-8837 представляет серьёзную угрозу для организаций критической инфраструктуры, требуя повышенного внимания со стороны специалистов по информационной безопасности.

IPv4

• 103.235.46.102
• 172.188.162.183
• 20.200.129.75
• 4.144.1.47
• 74.176.166.174

SHA256

• 194ca1b09902ceaaa8a7e66234be9dc8a12572832836361f49f1074eae861794
• 1b3856e5d8c6a4cec1c09a68e0f87a5319c1bd4c8726586fd3ea1b3434e22dfa
• 1c5174672bf2ccedb6a426336ca79fd326e61cd26dd9ae684b8ffd0b5a70c700
• 1de72bb4f116e969faff90c1e915e70620b900e3117788119cffc644956a9183
• 2f295f0cedc37b0e1ea22de9d8cb461fa6f84ab0673fde995fd0468a485ddb59
• 42e3ad56799fbc8223fb8400f07313559299496bb80582a6cbae29cb376d96c3
• 451e03c6a783f90ec72e6eab744ebd11f2bdc66550d9a6e72c0ac48439d774cd
• 4af156b3285b49485ef445393c26ca1bb5bfe7cdc59962c5c5725e3f3c574f7c
• 4d47445328bfd4db12227af9b57daab4228244d1325cba572588de237f7b2e98
• 4e8304040055d3bffcb3551873da45f66577723d1a975416a49afa5aec4eb295
• 4f7518b2ee11162703245af6be38f5db50f92e65c303845ef13b12c0f1fc2883
• 5090f311b37309767fb41fa9839d2770ab382326f38bab8c976b83ec727e6796
• 51d6448e886521aaaaf929a50763156ceb99ede587c65de971700a5583d6a487
• 5391f69425217fa8394ebac0d952c5a3d1f0f5ac4f20587978cd894fdb6199cd
• 6d20371b88891a1db842d23085a0253e36cf3bf0691aee2ae15a66fc79f3803d
• 6e8af5c507b605a16373e8453782bfd8a3ec3bd76f891e71a159d8c2ff2a5bb0
• 74e68b4e07d72c9b8e0bc8cbfd57f980b4a2cd9d27c37bb097ca4fb2108706e3
• 887817fbaf137955897d62302c5d6a46d6b36cb34775e4693e30e32609fb6744
• 891246a7f6f7ba345f419404894323045e5725a2252c000d45603d6ddf697795
• 8bc008a621c5e3068129916770d24ee1d7d48079ee42797f86d3530ca90e305c
• 8bf233f608ea508cd6bf51fb23053d97aa970b8d11269d60ce5c6e113e8e787a
• b3f83721f24f7ee5eb19f24747b7668ff96da7dfd9be947e6e24a688ecc0a52b
• b7ecd4ff75c0e3ed196e1f53d92274b1e94f17fa6c39616ce0435503906e66fb
• bdf7b28df19b6b634c05882d9f1db73f63252f855120ed3e4da4e26f2c6190e8
• ced14e8beb20a345a0d6f90041d8517c04dbc113feff3bc6e933968d6b846e31
• d0beb6184ea4402c39e257d5912c7ace3607e908e76127014e3ec02866b6d70c
• de9c13b1abeab11626a8edc1385df358d549a65e8cc7a69baca84cd825acc8e7
• e27e6e8e97421593f1e8d66f280e894525e22b373248709beaf81dc6107fb88d
• fab292c72ad41bae2f02ae5700c5a88b40a77f0a3d9cbdf639f52bc4f92bb0a6