UAT-8837 – nagy hatású műveletek
A Cisco Talos részletes elemzést publikált a nagy valószínűséggel kínai állami támogatású UAT-8837 aktorról. A csoport Észak-Amerika kritikus infrastruktúráját célozza meg, elsősorban inicializáláshoz szükséges hozzáférést szerezve kritikus infrastruktúrát üzemeltető szervezeteknél. Taktikájukban és eszközeikben hasonlóságot mutat más, kínai eredetű APT csoportokkal, például a DWAgent távkarbantartási eszköz és a SharpHound AD-felderítő alkalmazás használatában.
A csoport sebezhetőségek kihasználásával és lopott hitelesítő adatokkal jut be rendszerekbe, majd nyílt forráskódú eszközökkel gyűjti az adatokat, hogy többszöri hozzáféréstbiztosítson magának. A Talos szerint a csoport stratégiai hírszerzésre koncentrál, nem pedig véletlenszerű bűncselekményekre. A legfrissebb támadások során termékhez kapcsolódó DLL könyvtárakat is exfiltáltak, ami jövőbeni ellátási lánc-támadások és visszafejlesztési kockázatot jelenthet.
