資安業者思科 Talos 揭露一個疑似與中國有關的進階持續性威脅(APT)組織
UAT-8837,自 2024 年起持續鎖定北美地區的關鍵基礎設施進行攻擊。研究人員根據該組織的戰術、技術與程序(TTP)與其他已知中國駭客組織的相似性,以中等信心程度評估其與中國有關。
利用零時差漏洞取得初始存取權
思科 Talos 指出,
UAT-8837 的主要任務是取得高價值組織的初始存取權限。攻擊者透過伺服器漏洞或已洩露的帳號憑證進行入侵。在最近一次攻擊中,該組織利用 Sitecore 內容管理系統的零時差漏洞
CVE-2025-53690(CVSS 評分 9.0)發動攻擊。這個 ViewState 反序列化(Deserialization)漏洞於 2025 年 9 月初由 Google 旗下的 Mandiant 發現並通報,Sitecore 隨即在當月釋出修補程式。
值得注意的是,這起攻擊與 Mandiant 於 2025 年 9 月揭露的另一起攻擊行動高度相似,兩者在 TTP、工具與基礎設施上幾乎一致。Mandiant 當時觀察到攻擊者部署了名為 WeepSteel 的偵察後門程式。雖然目前無法確認兩起攻擊是否出自同一組織,但這顯示 UAT-8837 可能具備取得零時差漏洞利用程式的能力。
延伸閱讀:美國CISA下令緊急修補Sitecore重大漏洞 ! 已遭利用進行攻擊
攻擊手法與工具鏈分析
成功入侵後,UAT-8837 會先進行初步偵察,接著停用遠端桌面協定(RDP)的 RestrictedAdmin 安全功能。此功能原本可防止憑證等使用者資源暴露於已遭入侵的遠端主機,但攻擊者會刻意關閉以利後續的憑證竊取行動。
攻擊者隨後會開啟命令提示字元(cmd.exe)進行手動鍵盤操作,並下載多種工具進行後續滲透。思科 Talos 研究人員 Asheer Malhotra、Vitor Ventura 與 Brandon White 指出,UAT-8837 主要使用開源工具來收集敏感資訊,包括憑證、安全組態設定、網域與 Active Directory(AD)資訊,藉此建立多重存取管道。
研究人員觀察到的攻擊工具包括:
- GoTokenTheft:竊取存取權杖
- EarthWorm:建立 SOCKS 反向通道
- DWAgent:提供持續性遠端存取與 AD 偵察功能
- SharpHound:收集 AD 資訊
- Impacket:以提升權限執行命令
- GoExec:在受害網路內其他端點執行命令的 Golang 工具
- Rubeus:用於 Kerberos 互動與濫用的 C# 工具集
- Certipy:進行 AD 探索與濫用
鎖定供應鏈攻擊與產品弱點
攻擊過程中,UAT-8837 會執行一系列命令以取得敏感資訊,主要蒐集目標包括憑證、AD 拓撲與信任關係、安全政策與組態設定等。研究人員特別提到,在某次攻擊中,攻擊者外洩了受害組織產品相關的 DLL 共享函式庫,顯示這些函式庫未來可能遭到植入木馬程式。這不僅為供應鏈攻擊創造了機會,攻擊者也可能透過逆向工程找出這些產品的漏洞。
資安人員應留意UAT-8837 會持續更換工具變種以規避偵測。當執行受阻時,攻擊者會改用不同的遠端執行工具,例如從 Impacket 切換至 Invoke-WMIExec、GoExec 或 SharpWMI,透過 WMI 與 DCOM 在遠端系統執行命令。
中國駭客組織持續威脅關鍵基礎設施
思科 Talos 在揭露 UAT-8837 的一週前,公布了另一個中國駭客組織
UAT-7290 的情資。該組織自 2022 年起針對南亞與東南歐地區進行間諜活動,使用 RushDrop、DriveSwitch 與 SilentRaid 等惡意軟體。
延伸閱讀:中國駭客組織UAT-7290鎖定電信業者,透過邊緣設備漏洞發動攻擊
近年來,中國威脅行為者鎖定關鍵基礎設施的活動引起西方政府高度關注。近期,澳洲、德國、荷蘭、紐西蘭、英國與美國的資安與情報機構聯合發布警告,指出 OT 環境面臨日益嚴重的威脅。該指引提供了設計、保護與管理 OT 系統連線的框架,敦促組織採取以下措施:
- 限制 OT 系統的暴露範圍
- 集中化並標準化網路連線
- 採用安全的通訊協定
- 強化 OT 邊界防護
- 確保所有連線活動都經過監控與記錄
- 避免使用可能增加資安事件風險的過時資產
閱讀更多:美國CISA聯合多國發布「AI在關鍵基礎設施OT環境的資安指引」
各國機構指出,
暴露且不安全的 OT 連線已成為機會主義者與高能力攻擊者的目標。這類活動包括國家資助的攻擊者積極鎖定關鍵國家基礎設施(CNI)網路。威脅不僅來自國家資助的攻擊者,近期事件也顯示,暴露的 OT 基礎設施會遭駭客機會性攻擊。
本文轉載自 TheHackerNews、BleepingComputer。