研究者はUAT-8837を特定した。これは中国との関連が疑われる高度持続的脅威(APT)グループで、主に北米全域の重要インフラ分野における高価値組織への初期アクセス獲得に注力している。
少なくとも2025年以降活動しており、この脅威アクターは高度な手口を示し、ゼロデイの悪用能力を有している可能性が高い。
UAT-8837は、n-dayおよびゼロデイの脆弱性悪用の両方を通じて侵入し、直近ではSitecore製品におけるViewStateデシリアライゼーションのゼロデイであるCVE-2025-53690を悪用している。
システム侵害後、同グループはwhoami、netstat、tasklist、hostnameなどの標準的なWindowsコマンドを用いて予備的な偵察を行い、被害環境を把握する。
脅威アクターは、資格情報を収集するためにリモートデスクトッププロトコルのRestrictedAdminを戦略的に無効化し、その後、C:\Users<user>\Desktop、C:\windows\temp、C:\windows\public\musicといったディレクトリに悪意のある成果物を配置する。
UAT-8837は、ネットワークトンネリング用のEarthworm、Active Directory列挙用のSharpHound、リモート管理用のDWAgent、AD証明書悪用用のCertipy、そしてリモートコマンド実行用のGoExecなど、広範なオープンソースツール群を展開する。
同グループは、セキュリティ製品が使用ツールを検知すると適応的な挙動を示し、エンドポイント保護を回避するために複数のツール亜種を切り替えて使用する。
UAT-8837はseceditを用いてWindowsのセキュリティポリシーを抽出し、setspnを通じてサービスプリンシパル名(SPN)を照会し、netコマンドや、dsqueryおよびdsgetを含むカスタムのLOTLツールを用いて包括的なドメイン偵察を実施する。
特筆すべき点として、このアクターは被害組織からDLLベースの共有ライブラリを流出させており、トロイの木馬化によるサプライチェーン侵害の可能性が懸念される。
UAT-8837は、バックドア化したユーザーアカウントを作成し、侵害されたネットワーク全体にわたって複数のアクセス経路を維持することで永続化を確立する。
組織は、TalosのGitHubリポジトリで提供されている侵害指標(IOC)を監視し、ClamAVのWin.Malware.Earthwormや複数のSnortルールを含む検知シグネチャを展開すべきである。
翻訳元: https://cyberpress.org/uat-8837-hackers-open-source-tools-data-theft/