UAT-5918, Tayvan’daki kritik altyapı ve diğer sektörleri hedef alan bir tehdit aktörüdür. 2023 yılından itibaren aktif olan bu grup, bilgi hırsızlığı amacıyla uzun vadeli erişim sağlamayı hedeflemektedir. UAT-5918, web shell’leri ve açık kaynaklı araçlar kullanarak hedef sistemlere sızmakta ve ardından ağ keşfi, sistem bilgisi toplama ve yatay hareketlilik gibi faaliyetlerle kalıcılık sağlamaktadır.
Grup, özellikle N-gün güvenlik açıklarını istismar ederek internet erişimi olan sunucularda ilk erişimi elde etmektedir. Bu erişimi kullanarak Fast Reverse Proxy (FRP) ve Neo-reGeorge gibi araçlarla geri proxy tünelleri kurmakta ve sistemlere daha derinlemesine sızmaktadır. Kimlik bilgilerini toplamak için Mimikatz, LaZagne ve BrowserDataLite gibi araçlar kullanarak hedef ortamda daha fazla bilgi elde etmektedir.
Tehdit aktörü ayrıca, sistemdeki yerel ve paylaşılan sürücülerdeki verileri toplamakta, web shell’ler aracılığıyla farklı alt alanlara ve internet erişimine açık sunuculara da erişim sağlamaktadır. Bu faaliyetler, hedef alınan organizasyonlarda sürekli bilgi hırsızlığı amacı güden bir stratejiyi yansıtmaktadır. UAT-5918’in taktikleri, Çinli başka hacker gruplarıyla benzerlikler göstermektedir.
Diğer yazılarımıza buradan ulaşabilirsiniz.
Leave a Comment