概要
UAT-8837、通称「China-nexus」として知られる高度な持続的脅威(APT)アクターが、北米の重要インフラ部門に対し持続的なキャンペーンを展開しています。このグループは、既知の中国系脅威アクターとの戦術的重複から中程度の確度で評価されており、高価値組織への初期アクセスを獲得し、機密データを収集することを専門としています。
侵入経路と初期アクセス
2025年以降、UAT-8837は重要インフラを意図的に標的とし、既知の脆弱性とゼロデイエクスプロイトの両方を悪用してネットワークに侵入しています。最近では、Sitecore製品におけるViewState Deserializationのゼロデイ脆弱性「CVE-2025-53690」を悪用し、未公開のエクスプロイトへのアクセス能力を示しました。標的環境に一度侵入すると、オペレーターは標準的なWindowsコマンド(ping、tasklist、whoamiなど)を使用して直ちに偵察活動を行い、システム構成を把握します。また、リモートデスクトッププロトコル(RDP)のRestricted Adminを無効にして、ラテラルムーブメントのための資格情報を取得します。その後、デスクトップ、Windows\Temp、Windows\Public\Musicフォルダーなど、一般的に使用されるディレクトリに悪意のある成果物を配置します。
使用ツール
UAT-8837は、組織の機密情報を抽出するために、広範なオープンソースツールとカスタムツールを使用しています。そのツールセットには以下のものが含まれます。
- Earthworm: ネットワークトンネリング用
- SharpHound: Active Directory列挙用
- DWAgent: リモート管理用
- GoTokenTheft: 権限昇格用
- Certipy: Active Directory悪用用
- Impacket: ラテラルムーブメント用
- GoExec: リモートコマンド実行用
この脅威アクターは、検出時にCisco Secure Endpointなどのセキュリティ製品を回避するため、ツールのバリアントを迅速に切り替えます。この適応性は、オペレーターが検出対応を積極的に監視し、侵入中に戦術を変更していることを示唆しています。
データ窃取活動
UAT-8837は、グループポリシーのパスワード、セキュリティエクスポートユーティリティ、サービスプリンシパル名を標的とするコマンドを使用して、資格情報、セキュリティポリシー、ドメイン構成を体系的に抽出します。彼らは、SharpHoundやdsquery、dsgetなどのネイティブWindowsツールを使用してActive Directoryを広範にクエリし、組織構造をマッピングして特権アカウントを特定します。Cisco Talosの脅威インテリジェンスによると、ある確認された侵入では、オペレーターが被害企業の製品からプロプライエタリDLLライブラリを窃取しており、サプライチェーン侵害への懸念が高まっています。この活動パターンは、被害システムをトロイの木馬化したり、脆弱性研究を行ったりする潜在的な計画を示しています。
推奨される対策
重要インフラ部門の組織は、以下の対策を講じるべきです。
- 疑わしいRDP設定変更、異常なActive Directory列挙活動、および管理ツールの疑わしい実行に対する監視を強化する。
- ネットワークセグメンテーションを実施する。
- 多要素認証(MFA)を導入する。
- Sitecoreのインストールに対し、迅速なパッチ適用を行う。
元記事: https://gbhackers.com/uat-8837-launches-targeted-attacks-to-steal-sensitive-organizational-data/