北京
一個名為UAT-8302的黑客組織正把南美和東南歐的政府機構當作獵物。他們不用什么花哨的零日漏洞,而是把定制木馬和開源工具混在一起,低調地竊取敏感數據。
這個組織至少從2024年底就開始活動,2025年明顯加大了對東南歐政府目標的攻勢。他們的打法很務實:混進去、藏住、能拿多少拿多少。
真正讓防御者頭疼的是他們的"隱身術"。UAT-8302把正規云服務、開源工具和自己的惡意程序搭配使用,讓安全團隊很難分辨哪些流量是正常的、哪些是有害的。這種"合法工具武器化"的思路,比純定制攻擊更難檢測。
Cisco Talos的研究人員把UAT-8302定性為與中國有關聯的高級持續性威脅(APT)組織,核心任務就是長期滲透全球各地的政府及相關機構。Talos高度確信,該組織與多個已公開的中國關聯威脅集群共享工具,包括他們追蹤的LongNosedGoblin。工具和技術的高度重合,暗示這些組織之間存在緊密的協作關系。
入侵后的操作是一套成熟的標準流程:先收集憑據,再抓取Active Directory信息,把整個網絡環境摸清楚,最后才部署更多惡意軟件。他們用Impacket、定制PowerShell腳本、開源掃描引擎來發現所有能觸及的終端——確保完全掌控環境后再決定下一步。
UAT-8302的工具庫相當豐富。NetDraft是其中最突出的武器之一,這是一個.NET后門,與FinDraft和SquidDoor家族有關聯。它通過DLL側加載技術投遞:一個正常可執行文件加載惡意DLL加載器,后者解碼并在現有進程中運行NetDraft。該木馬利用Microsoft Graph API與基于OneDrive的指揮控制服務器通信,借此混入正常的云流量。
除了NetDraft,該組織還部署了CloudSorcerer后門的更新版本,以及VSHELL植入程序。在一次已記錄的入侵中,他們同時使用了SNAPPYBEE和ZingDoor——這一戰術在Trend Micro 2024年關于類似中國關聯活動的報告中也曾被獨立提及。
攻擊者表現出極高的耐心,對每個可達終端進行深入、系統的偵察,然后再向目標環境縱深推進。這種謹慎、有預謀的打法,正是國家支持型威脅行動針對高價值政府基礎設施的典型特征。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
