11,5 тыс подписчиков

UAT-8837: APT, связанная с Китаем, атакует инфраструктуру через CVE-2025-53690

ВчераВчера

4 мин

Новая сложная целенаправленная угроза под обозначением UAT-8837, связанная аналитиками с китайскими APT-акторами, в настоящее время нацелена на критически важные секторы инфраструктуры в Северной Америке. По оценке Cisco Talos, группа действует как минимум с 2025 года и фокусируется на получении первоначального доступа к ценным организациям. Несмотря на кажущийся спорадический характер атак, их намерения носят систематический и стратегический характер. Cisco Talos оценивает группу «со средней степенью уверенности», основываясь на тактиках, техниках и процедурах (TTP), которые совпадают с известными китайскими акторами APT. «Cisco Talos оценивает эту группу со средней степенью уверенности, основываясь на их тактиках, техниках и процедурах (TTP), которые демонстрируют совпадения с известными китайскими акторами APT.» Для доступа к целевым средам UAT-8837 использует как n-day, так и zero-day уязвимости. В частности, примечателен недавний кейс с использованием уязвимости ViewState Deserial

Оглавление

Кто такая UAT-8837
Методы проникновения и используемые уязвимости
Инструменты и действия в ходе вторжения

Новая сложная целенаправленная угроза под обозначением UAT-8837, связанная аналитиками с китайскими APT-акторами, в настоящее время нацелена на критически важные секторы инфраструктуры в Северной Америке. По оценке Cisco Talos, группа действует как минимум с 2025 года и фокусируется на получении первоначального доступа к ценным организациям. Несмотря на кажущийся спорадический характер атак, их намерения носят систематический и стратегический характер.

Кто такая UAT-8837

Cisco Talos оценивает группу «со средней степенью уверенности», основываясь на тактиках, техниках и процедурах (TTP), которые совпадают с известными китайскими акторами APT.

«Cisco Talos оценивает эту группу со средней степенью уверенности, основываясь на их тактиках, техниках и процедурах (TTP), которые демонстрируют совпадения с известными китайскими акторами APT.»

Методы проникновения и используемые уязвимости

Для доступа к целевым средам UAT-8837 использует как n-day, так и zero-day уязвимости. В частности, примечателен недавний кейс с использованием уязвимости ViewState Deserialization zero-day в продуктах SiteCore — CVE-2025-53690.

Инструменты и действия в ходе вторжения

После получения начального доступа группа разворачивает разнообразный набор инструментов и адаптирует их в ответ на детектирование средствами безопасности. К ключевым инструментам и техникам относятся:

GoTokenTheft — кража токенов доступа для выполнения команд с повышенными привилегиями;
Earthworm — утилита сетевого туннелирования, часто используемая китайскоязычными злоумышленниками, для доступа к внутренним системам через удалённые серверы злоумышленников;
DWAgent — инструмент удалённого администрирования, применяемый для поддержки доступа к скомпрометированным конечным точкам и развертывания дополнительного ПО;
SharpHound — сбор разведданных в Active Directory (AD);
Различные бинарники на базе Impacket для удалённого выполнения и перемещения по сети;
GoExec — средство удалённого выполнения команд на конечных точках;
Rubeus — набор для злоупотреблений Kerberos;
Certipy — инструмент для поиска и предотвращения злоупотреблений сертификатами/advertising в AD;
Использование системных команд и утилит: setspn для перечисления SPN, а также dsget и dsquery для получения конкретных данных из Active Directory.

Поддержание доступа и сбор данных

UAT-8837 применяет несколько приёмов для поддержания долгосрочного доступа и разведки:

Добавление бэкдоров к существующим учетным записям пользователей и включение этих учётных записей в локальные группы для сохранения доступа;
Клавиатурный ввод (keylogging) для извлечения конфиденциальной информации, включая учетные данные;
Интенсивная разведка Active Directory с использованием SharpHound, Certipy и системных команд для выявления нужных целей и прав доступа;
Адаптивная смена инструментов и их вариантов в ответ на обнаружение средствами безопасности.

Последствия для инфраструктуры и выводы

Целенаправленность на критические секторы и использование сложного набора инструментов и zero-day уязвимостей делает UAT-8837 рискованной и гибкой угрозой. Даже при «спорадических» инцидентах их действия имеют признаки долгосрочной, стратегической кампании по сбору привилегированных доступов и разведданных в целевых организациях.

Практические рекомендации

Исходя из описанных TTP, логично уделить приоритетное внимание базовым, но эффективным мерам защиты:

Оперативное патчение известных уязвимостей и контроль установки обновлений для продуктовой инфраструктуры (особое внимание SiteCore и компонентам, обрабатывающим ViewState);
Мониторинг аномалий, связанных с похищением токенов и нетипичной активностью Remote Administration (DWAgent и тому подобные);
Аудит и контроль добавления учётных записей в локальные группы, а также поиск незаявленных бэкдоров;
Активный мониторинг и охота на признаки использования Earthworm и других туннелирующих инструментов;
Контроль и защита Kerberos-процессов (Rubeus) и сертификатных операций (Certipy);
Регулярный сбор и анализ логов Active Directory, ограничение прав по принципу наименьших привилегий.

UAT-8837 демонстрирует, что даже группы с «спорадической» видимостью могут представлять серьёзную угрозу стратегического характера. Организациям критической инфраструктуры следует относиться к таким инцидентам как к системному риску и укреплять как технические, так и операционные барьеры против современной кибершпионажа.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "UAT-8837: APT, связанная с Китаем, атакует инфраструктуру через CVE-2025-53690".

Гаджеты и электроника

5,73 млн интересуются