Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Эволюция атак UTG-Q-015: уязвимости в госструктурах и блокчейне

1
3 мин
В недавнем отчете подробно описываются изменения в стратегиях и методах работы хакерской группы UTG-Q-015, которая с декабря 2024 года усилила активность, нацеливаясь на государственные и корпоративные веб-платформы. Группа известна использованием как ранее неизвестных уязвимостей (zero-day), так и уже задокументированных эксплойтов (Nday), что позволяет ей эффективно обходить защитные механизмы и наносить ущерб критическим инфраструктурам. Повышение активности произошло после декабрьского инцидента, связанного с CSDN. С этого момента UTG-Q-015 значительно усложнила свои методы атак, усилив фокус на технологических системах блокчейна и финансовых организациях. Это указывает на стратегическое расширение их мишеней и усиление технических возможностей группы. К марту 2025 года хакеры внедрили специализированную сеть сканирующих узлов, что позволило эффективно выявлять уязвимые серверы государственного сектора. В числе применяемых уязвимостей: Использование этих эксплойтов дало возможность
Оглавление

Хакерская группа UTG-Q-015 меняет тактику атак на правительственные и корпоративные сети

В недавнем отчете подробно описываются изменения в стратегиях и методах работы хакерской группы UTG-Q-015, которая с декабря 2024 года усилила активность, нацеливаясь на государственные и корпоративные веб-платформы. Группа известна использованием как ранее неизвестных уязвимостей (zero-day), так и уже задокументированных эксплойтов (Nday), что позволяет ей эффективно обходить защитные механизмы и наносить ущерб критическим инфраструктурам.

Обострение активности после инцидента с CSDN

Повышение активности произошло после декабрьского инцидента, связанного с CSDN. С этого момента UTG-Q-015 значительно усложнила свои методы атак, усилив фокус на технологических системах блокчейна и финансовых организациях. Это указывает на стратегическое расширение их мишеней и усиление технических возможностей группы.

Используемые уязвимости и методы

К марту 2025 года хакеры внедрили специализированную сеть сканирующих узлов, что позволило эффективно выявлять уязвимые серверы государственного сектора. В числе применяемых уязвимостей:

  • CVE-2021-38647 — уязвимость нулевого дня;
  • CVE-2017-12611 и CVE-2017-9805 — уязвимости класса Nday.

Использование этих эксплойтов дало возможность получить несанкционированный доступ к системам, минуя традиционные барьеры безопасности.

Многогранность атак

UTG-Q-015 применяет комплексный подход:

  • Атаки на веб-серверы через эксплойты;
  • Фишинговые кампании, в рамках которых пользователям предлагается загрузить вредоносные файлы;
  • Внедрение облегченных сетевых бэкдоров, способных выполнять команды и загружать файлы удаленно.

Особого внимания заслуживает использование вредоносного ПО, маскирующего обмен данными через мгновенные сообщения под обновления программного обеспечения, что позволяет обходить антивирусные и сетевые фильтры.

Цели атак: финансовые учреждения и исследовательские инфраструктуры

Группа успешно атакует финансовые подразделения, сначала получая доступ к пограничным серверам через уязвимости в интернете, затем с помощью вредоносной информации, передаваемой через IM-протоколы. Среди используемых бэкдоров — Xnote, Ghost и Vshell. Особенно уязвимыми оказались исследовательские комплексы в области искусственного интеллекта, которые подверглись эксфильтрации данных и удаленному управлению вредоносными компонентами.

Особое внимание — уязвимость в ComfyUI-Manager

В отчете подчеркивается тревожный факт использования уязвимости CVE-2023-48022, связанной с плагином ComfyUI-Manager. Это позволяло злоумышленникам:

  • Непреднамеренно распространять вредоносные файлы моделей ИИ;
  • Получать доступ к конфиденциальным серверам, задействованным в исследованиях;
  • Использовать дистанционный доступ к командной строке и запускать вредоносные сценарии;
  • Создавать дополнительные бэкдоры для долгосрочного контроля.

Такой вектор атак заставляет обратить внимание на необходимость тщательного аудита используемых плагинов и компонентов в инфраструктурах, связанных с искусственным интеллектом.

Выводы и рекомендации

Активность UTG-Q-015 демонстрирует растущую сложность современных киберугроз, сочетающих в себе эксплойты, социальную инженерию и продвинутые методы скрытого внедрения вредоносного ПО. Для противодействия таким атакам рекомендуется:

  • Постоянный мониторинг и патчинг серверов от известных и zero-day уязвимостей;
  • Проведение регулярных обучающих программ по распознаванию фишинговых атак для сотрудников;
  • Обеспечение многофакторной аутентификации и жестких политик безопасности при доступе к критическим системам;
  • Анализ используемых плагинов и компонентов на предмет возможных уязвимостей;
  • Использование механизмов поведенческого анализа и IDS/IPS для своевременного обнаружения аномалий.

Оставаясь в курсе подобных угроз и своевременно реагируя на них, организации смогут существенно снизить риски потери данных и нарушения работы своих систем.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Эволюция атак UTG-Q-015: уязвимости в госструктурах и блокчейне".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Кибербезопасность
25,6 тыс интересуются