Recientemente, se ha detectado una seria amenaza cibernética, conocida como UAT-5918, que está atacando a entidades en Taiwán, especialmente aquellas que operan en sectores vitales como las telecomunicaciones, la salud y la tecnología de la información.
Este grupo de ciberdelincuentes avanzados, o APT, busca infiltrarse en los sistemas de forma prolongada para robar información y obtener credenciales de acceso.
UAT-5918 logra entrar en los sistemas aprovechando fallos de seguridad conocidos, o vulnerabilidades de «día N», en servidores web y aplicaciones que están conectados a Internet y no han sido actualizados con los parches de seguridad necesarios.
Luego de una explotación exitosa, UAT-5918 lleva a cabo actividades manuales posteriores al compromiso centradas en el reconocimiento de la red y el establecimiento de persistencia.
El grupo utiliza una variedad de herramientas de código abierto, incluidos shells web como Chopper web shell y herramientas de red como FRPC, FScan, In-Swor, Earthworm y Neo-reGeorg.
Estas herramientas permiten al actor de amenazas moverse lateralmente dentro de la red comprometida, recopilar información del sistema y crear nuevas cuentas de usuario administrativo.
La recolección de credenciales es una táctica clave que emplea herramientas como Mimikatz, LaZagne y extractores de credenciales de navegador para obtener credenciales de usuario locales y a nivel de dominio.
UAT-5918 también utiliza herramientas como Impacket y WMIC para movimiento lateral a través de RDP y comunicación remota PowerShell.
Las tácticas, técnicas y procedimientos (TTP) de UAT-5918 muestran superposiciones significativas con otros grupos de APT, incluidos Volt Typhoon, Flax Typhoon, Earth Estries y Dalbit.
Según Cisco Talos Report, estos grupos son conocidos por apuntar a geografías y verticales industriales similares, lo que sugiere una alineación estratégica en sus operaciones.
El uso de herramientas como FRP, FScan e In-Swor por parte del UAT-5918 refleja las herramientas utilizadas por Tropic Trooper y Famous Sparrow.
Sin embargo, algunas herramientas, como LaZagne y SNetCracker, no se han asociado públicamente con estos otros grupos, lo que indica un posible uso exclusivo por parte de UAT-5918.
Para contrarrestar las amenazas de UAT-5918, las organizaciones pueden emplear varias medidas de seguridad.
El uso de herramientas como Cisco Secure Endpoint puede prevenir la ejecución de malware, mientras que Cisco Secure Email puede bloquear correos electrónicos maliciosos.
Cisco Secure Firewall y Malware Analytics pueden detectar y analizar actividades maliciosas, proporcionando una protección integral contra dichas amenazas.
La implementación de una gestión sólida de parches para abordar las vulnerabilidades de N días es crucial para evitar el acceso inicial por parte de UAT-5918 y grupos APT similares.
