В конце 2024 – начале 2025 года киберпреступная группа UTG-Q-015 значительно активизировала свои действия, используя продвинутые методы атак на правительственные, корпоративные и блокчейн-ресурсы. Согласно последнему отчету, злоумышленники успешно эксплуатировали уязвимости, проводили масштабные фишинговые кампании и внедряли сложное вредоносное ПО, что вызвало серьезную обеспокоенность в сфере кибербезопасности.
Основные векторы атак и эволюция тактик UTG-Q-015
Группа впервые получила широкую известность в декабре 2024 года после внедрения троянских программ на популярных веб-сайтах, включая CSDN. После разоблачения их схем UTG-Q-015 оперативно адаптировалась, переключившись на использование уязвимостей нулевого дня для проникновения на более защищённые платформы.
- Март 2025: резкий рост активности по сканированию сетевых узлов, сопровождаемый применением тактики грубой силы.
- Апрель 2025: расширение целей за счёт атак на сайты, связанные с блокчейн-технологиями, а также на разнообразные правительственные и корпоративные ресурсы.
- Интенсивное использование методов фишинга через мгновенные сообщения (IM), нацеленных на сотрудников финансового сектора.
Особенностью атак UTG-Q-015 стало применение хитроумной трехэтапной вредоносной программы, включавшей подключение к веб-адресам интрасети, что позволяло злоумышленникам углублять проникновение в инфраструктуру жертв.
Региональный и политический контекст нападений
Часто UTG-Q-015 ассоциируют с «атакующими, говорящими по-китайски», однако их сферу действий сложно ограничить одной страной. Угроза исходит от игроков с территории Восточной и Юго-Восточной Азии, что отражает сложную геополитическую ситуацию и конкуренцию в регионе. Конкурирующие группировки, такие как Operation EviLoong и Operation Giant, занимаются промышленным шпионажем и создают политическое напряжение между государствами.
Стремясь ответить на вызовы соперников, UTG-Q-015 направила атаки на внутренние форумы по программированию, интерпретируя конфликт как идеологическую и политическую борьбу в контексте «войны аутсорсинга».
Технологические аспекты атак: уязвимости и инструменты
С марта 2025 года злоумышленники развернули новые узлы сканирования, сосредоточив свою активность на веб-серверах государственных компаний и крупных предприятий.
Базовые элементы цепочки атак включают:
- Использование известных уязвимостей, таких как CVE-2021-38647, CVE-2017-12611 и CVE-2017-9805.
- Внедрение бэкдора Cobalt Strike, обеспечивавшего удалённое управление заражёнными системами.
- Модифицированные туннели NPS с использованием сканера fscan для перемещения в стороны (lateral movement).
В ходе масштабной операции под названием «водопой» было скомпрометировано более 100 веб-сайтов, преимущественно связанных с технологиями Web3, серверными порталами входа в Bitcoin, системами управления электронными подписями и страницами аутентификации GitLab.
Атакам сопутствовало активное использование фишинговых подсказок, вынуждавших пользователей загружать вредоносные файлы. Среди новых угроз отметился облегчённый сетевой бэкдор, позволяющий не только выполнять команды, но и загружать дополнительные файлы, повышая масштабы и глубину заражения.
Особенности атак на финансовый сектор
На финансовые учреждения группа UTG-Q-015 нацеливалась с помощью ранее неизвестных веб-уязвимостей, что позволяло злоумышленникам проникать на пограничные серверы. Далее при помощи мгновенных сообщений персоналу передавались приманки — вредоносные файлы, внедрённые с детальной информацией о конкретных доменах и внутренних IP-адресах. Такой подход обеспечивал загрузку дополнительной полезной нагрузки непосредственно в инфраструктуру жертв.
Фокус на искусственном интеллекте и последние кибератаки
В 2025 году UTG-Q-015 значительно расширила спектр атак, переключившись на учреждения и компании, связанные с искусственным интеллектом, особенно серверы под управлением Linux.
- В феврале зафиксировано использование уязвимостей в плагине ComfyUI-Manager для доставки вредоносных файлов моделей.
- Впоследствии на заражённых системах был установлен бэкдор Vshell, предоставляющий злоумышленникам долгосрочный доступ.
- Апрельское использование уязвимости CVE-2023-48022 на отечественных серверах, применяемых в исследовательских целях, подчёркивает продолжающуюся опасность.
Эксперты настоятельно рекомендуют ограничить публичный доступ к компонентам ComfyUI на критически важных объектах и усилить меры кибербезопасности. Это связано с постоянной угрозой промышленного шпионажа, исходящей от иностранных APT-групп, включая UTG-Q-015.
Выводы и рекомендации
Деятельность группы UTG-Q-015 демонстрирует рост технической сложности атак и расширение целевой аудитории с учетом современных тенденций в киберпространстве. Их методы — от использования троянов и уязвимостей нулевого дня до комплексных фишинговых кампаний — показывают необходимость постоянного мониторинга и повышения уровня защищённости информационных систем.
В частности, организациям следует обратить внимание на следующие меры:
- Регулярное обновление программного обеспечения и своевременное закрытие известных уязвимостей.
- Обучение сотрудников финансового и административного отделов методам выявления фишинг-атак и подозрительной активности в IM-сетях.
- Ограничение публичного доступа к исследовательским и административным веб-интерфейсам, особенно связанным с AI и Web3.
- Внедрение средств мониторинга и анализа сетевого трафика для раннего выявления аномалий и инцидентов.
Только комплексный подход к безопасности позволит минимизировать риски, вызываемые деятельностью таких продвинутых кибератакующих группировок, как UTG-Q-015.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "UTG-Q-015: эволюция атак на правительственные и корпоративные веб-сайты".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.
