SOC Prime Bias: Критичний

06 May 2026 11:19 UTC
newspaper icon Блог Cisco Talos

UAT-8302 та інструментарій зловмисного програмного забезпечення за його атаками

Author Photo
SOC Prime Team linkedin icon Стежити
UAT-8302 та інструментарій зловмисного програмного забезпечення за його атаками
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Резюме

Cisco Talos пов’язує групу APT з Китаєм, відому як UAT-8302, з атаками на державні організації в Південній Америці з кінця 2024 року та на південному сході Європи протягом 2025 року. Група використовує широкий набір шкідливого ПЗ, який включає NetDraft, CloudSorcerer v3, VSHELL, SNOWLIGHT, SNOWRUST і додаткові компоненти власної розробки. Її операції також базуються на використанні інструментів з відкритим кодом, таких як Impacket, утиліти проксі-серверів і адаптовані скрипти для підтримки розвідки, крадіжки облікових даних і горизонтального руху по середовищах жертв.

Дослідження

Talos задокументував ланцюг доставки шкідливого ПЗ цієї групи, використання запланованих завдань для підтримки стійкості та зловживання довіреними сервісами, такими як Microsoft Graph для керування і контролю. Дослідники також спостерігали завантажувачі DLL sideloading, команди розвідки, утиліти для сканування мережі та інфраструктуру, присвячену доставці навантаження та віддаленому доступу. У звіті також відзначено спільні риси в інструментарії та техніці з іншими угрупованнями, пов’язаними з Китаєм, включаючи Jewelbug, Earth Estries та кілька груп, відстежуваних під UNC.

Пом’якшення

Організації повинні оновити відповідні вразливості, зокрема CVE-2025-0994, CVE-2025-20333, та CVE-2025-20362, і застосувати строгий контроль до API Office 365 і OneDrive, які можуть бути використані для керування і контролю. Захисники також повинні блокувати відомі шкідливі домени та IP-адреси, відключити непотрібні сервіси та обмежити інструменти віддаленого виконання, такі як Impacket і WMI, де це можливо. Моніторинг повинен бути зосереджений на визначених іменах запланованих завдань і паттернах DLL sideloading, пов’язаних з кампанією.

Відповідь

Команди з безпеки повинні оповістити про зазначені індикатори компромісу, ізолювати уражені системи та зібрати відповідні журнали та судово-експертні артефакти для аналізу. Облікові дані слід відразу змінити, а Active Directory ретельно перевірити на ознаки компромісу або несанкціонованого доступу. Також слід оновити зміст виявлення, щоб охопити спостережувані командні лінії та заплановані завдання, поки захисники полюють на додаткові імпланти з тих самих сімей шкідливого ПЗ у межах середовища.

"graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#cccccc classDef operator fill:#ff9900 %% Initial Access initial_access["<b>Action</b> – <b>T1190 Exploit Public-Facing Application</b><br/><b>Description</b>: Exploit a vulnerable internetu2011facing service to gain initial foothold."] class initial_access action vuln_app["<b>Tool</b> – <b>Name</b>: Cityworks (vulnerable)<br/><b>Description</b>: Publicu2011facing application containing CVEu20112025u20110994."] class vuln_app tool %% Execution u2013 System Binary Proxy exec_proxy["<b>Action</b> – <b>T1218.002 System Binary Proxy Execution</b><br/><b>Description</b>: Abuse trusted system binaries to proxy execution of malicious code."] class exec_proxy action control_panel["<b>Tool</b> – <b>Name</b>: Control Panel<br/><b>Description</b>: Legitimate binary used as proxy."] class control_panel tool %% Execution u2013 Trusted Developer Utilities Proxy (MSBuild) exec_msbuild["<b>Action</b> – <b>T1127.001 Trusted Developer Utilities Proxy Execution</b><br/><b>Description</b>: Use MSBuild to load malicious DLLs via sideu2011loading."] class exec_msbuild action msbuild["<b>Tool</b> – <b>Name</b>: MSBuild<br/><b>Description</b>: Microsoft build engine used to execute project files."] class msbuild tool %% Execution u2013 Shared Modules (DLL Sideu2011Loading) exec_shared["<b>Action</b> – <b>T1129 Shared Modules</b><br/><b>Description</b>: Load malicious DLLs by placing them next to benign executables."] class exec_shared action yandex_exe["<b>Tool</b> – <b>Name</b>: Yandex.exe<br/><b>Description</b>: Legitimate executable used as dropper."] class yandex_exe tool vmtools_exe["<b>Tool</b> – <b>Name</b>: VMtools.exe<br/><b>Description</b>: VMware tools binary leveraged for sideu2011loading."] class vmtools_exe tool malware_nedraft["<b>Malware</b> – <b>Name</b>: NetDraft"] class malware_nedraft malware malware_cloudsorcerer["<b>Malware</b> – <b>Name</b>: CloudSorcerer"] class malware_cloudsorcerer malware malware_vshell["<b>Malware</b> – <b>Name</b>: VSHELL"] class malware_vshell malware %% Persistence u2013 Scheduled Task persistence_task["<b>Action</b> – <b>T1053 Scheduled Task/Job</b><br/><b>Description</b>: Create scheduled tasks to run malicious binaries persistently."] class persistence_task action scheduled_task["<b>Tool</b> – <b>Name</b>: MicrosoftMaps{…}<br/><b>Description</b>: Scheduled task used for persistence."] class scheduled_task tool %% Defense Evasion u2013 Exploitation for Evasion defev_evasion["<b>Action</b> – <b>T1211 Exploitation for Defense Evasion</b><br/><b>Description</b>: Leverage vulnerabilities to bypass security controls."] class defev_evasion action %% Defense Evasion u2013 Subvert Trust Controls (Code Signing) defev_signing["<b>Action</b> – <b>T1553.006 Subvert Trust Controls</b><br/><b>Description</b>: Modify code signing policies to trust malicious binaries."] class defev_signing action %% Defense Evasion u2013 Preu2011OS Boot (ROMMONkit) defev_rommon["<b>Action</b> – <b>T1542.004 Preu2011OS Boot: ROMMONkit</b><br/><b>Description</b>: Install malicious driver during firmware boot."] class defev_rommon action rommon_driver["<b>Tool</b> – <b>Name</b>: Hades HIPS driver"] class rommon_driver tool %% Discovery u2013 Account and Group discovery_account["<b>Action</b> – <b>T1087.002 Account Discovery: Domain Account</b><br/><b>Description</b>: Enumerate domain user accounts."] class discovery_account action discovery_groups["<b>Action</b> – <b>T1069.002 Permission Groups Discovery: Domain Groups</b><br/><b>Description</b>: Enumerate domain groups."] class discovery_groups action %% Discovery u2013 Network discovery_netconn["<b>Action</b> – <b>T1049 System Network Connections Discovery</b><br/><b>Description</b>: Identify active network connections."] class discovery_netconn action discovery_remotes["<b>Action</b> – <b>T1018 Remote System Discovery</b><br/><b>Description</b>: Find remote systems on the network."] class discovery_remotes action discovery_scanning["<b>Action</b> – <b>T1595.001 Active Scanning: Scanning IP Blocks</b><br/><b>Description</b>: Scan IP ranges for live hosts."] class discovery_scanning action discovery_netconfig["<b>Action</b> – <b>T1016.001 System Network Configuration Discovery: Internet Connection Discovery</b><br/><b>Description</b>: Gather network configuration details."] class discovery_netconfig action discovery_cloud["<b>Action</b> – <b>T1526 Cloud Service Discovery</b><br/><b>Description</b>: Identify cloud service usage."] class discovery_cloud action discovery_cfg_repo["<b>Action</b> – <b>T1602 Data from Configuration Repository</b><br/><b>Description</b>: Dump network device configuration via SNMP MIB."] class discovery_cfg_repo action %% Lateral Movement u2013 Exploitation of Remote Services lateral_wmi["<b>Action</b> – <b>T1210 Exploitation of Remote Services</b><br/><b>Description</b>: Use WMI or SMB to execute code on remote hosts."] class lateral_wmi action lateral_smb["<b>Action</b> – <b>T1021.002 Remote Services: SMB/Windows Admin Shares</b><br/><b>Description</b>: Access admin shares for lateral movement."] class lateral_smb action lateral_transfer["<b>Action</b> – <b>T1570 Lateral Tool Transfer</b><br/><b>Description</b>: Transfer tools to remote systems."] class lateral_transfer action lateral_taint["<b>Action</b> – <b>T1080 Taint Shared Content</b><br/><b>Description</b>: Poison shared files to spread malware."] class lateral_taint action lateral_cloud["<b>Action</b> – <b>T1021.007 Remote Services: Cloud Services</b><br/><b>Description</b>: Use OneDrive or GitHub for lateral movement."] class lateral_cloud action lateral_rats["<b>Action</b> – <b>T1219 Remote Access Tools</b><br/><b>Description</b>: Deploy tools such as gogo, httpx, SNOWRUST."] class lateral_rats action tool_gogo["<b>Tool</b> – <b>Name</b>: gogo"] class tool_gogo tool tool_httpx["<b>Tool</b> – <b>Name</b>: httpx"] class tool_httpx tool tool_snowrust["<b>Tool</b> – <b>Name</b>: SNOWRUST"] class tool_snowrust tool %% Privilege Escalation u2013 Account Manipulation priv_esc["<b>Action</b> – <b>T1098.007 Account Manipulation: Additional Local or Domain Groups</b><br/><b>Description</b>: Add compromised accounts to privileged groups."] class priv_esc action %% Command and Control u2013 Proxy (multiu2011hop) c2_proxy["<b>Action</b> – <b>T1090 Proxy</b><br/><b>Description</b>: Route traffic through internal, external and multiu2011hop proxies."] class c2_proxy action c2_proxy_int["<b>Tool</b> – <b>Name</b>: Internal Proxy"] class c2_proxy_int tool c2_proxy_ext["<b>Tool</b> – <b>Name</b>: External Proxy"] class c2_proxy_ext tool %% Command and Control u2013 Protocol Tunneling c2_tunnel["<b>Action</b> – <b>T1572 Protocol Tunneling</b><br/><b>Description</b>: Encapsulate C2 traffic inside allowed protocols."] class c2_tunnel action %% Command and Control u2013 Cloud API c2_cloudapi["<b>Action</b> – <b>T1059.009 Command and Scripting Interpreter: Cloud API</b><br/><b>Description</b>: Use OneDrive, GitHub, GameSpot APIs for C2."] class c2_cloudapi action c2_onedrive["<b>Tool</b> – <b>Name</b>: OneDrive"] class c2_onedrive tool c2_github["<b>Tool</b> – <b>Name</b>: GitHub"] class c2_github tool c2_gamespot["<b>Tool</b> – <b>Name</b>: GameSpot"] class c2_gamespot tool %% Command and Control u2013 Web Protocols c2_web["<b>Action</b> – <b>T1071.001 Application Layer Protocol: Web Protocols</b><br/><b>Description</b>: Communicate over HTTP/HTTPS."] class c2_web action %% Command and Control u2013 Multiu2011Stage Channels c2_multi["<b>Action</b> – <b>T1104 Multiu2011Stage Channels</b><br/><b>Description</b>: Chain multiple C2 channels for resilience."] class c2_multi action %% Exfiltration u2013 Over Web Service exfil_web["<b>Action</b> – <b>T1567.002 Exfiltration Over Web Service</b><br/><b>Description</b>: Upload stolen data to cloud storage services."] class exfil_web action %% Connections u2013 Attack Flow initial_access –>|exploits| vuln_app vuln_app –>|enables| exec_proxy exec_proxy –>|uses| control_panel exec_proxy –>|leads_to| exec_msbuild exec_msbuild –>|uses| msbuild exec_msbuild –>|facilitates| exec_shared exec_shared –>|leverages| yandex_exe exec_shared –>|leverages| vmtools_exe exec_shared –>|loads| malware_nedraft exec_shared –>|loads| malware_cloudsorcerer exec_shared –>|loads| malware_vshell exec_shared –>|creates| persistence_task persistence_task –>|creates| scheduled_task scheduled_task –>|maintains| defev_evasion defev_evasion –>|includes| defev_signing defev_signing –>|modifies| rommon_driver defev_evasion –>|includes| defev_rommon defev_rommon –>|installs| rommon_driver %% Discovery Flow scheduled_task –>|gathers| discovery_account scheduled_task –>|gathers| discovery_groups scheduled_task –>|gathers| discovery_netconn scheduled_task –>|gathers| discovery_remotes scheduled_task –>|gathers| discovery_scanning scheduled_task –>|gathers| discovery_netconfig scheduled_task –>|gathers| discovery_cloud scheduled_task –>|gathers| discovery_cfg_repo %% Lateral Movement Flow discovery_remotes –>|enables| lateral_wmi lateral_wmi –>|uses| lateral_smb lateral_smb –>|transfers| lateral_transfer lateral_transfer –>|moves| lateral_cloud lateral_cloud –>|uses| c2_onedrive lateral_cloud –>|uses| c2_github lateral_cloud –>|uses| c2_gamespot lateral_wmi –>|executes| lateral_rats lateral_rats –>|uses| tool_gogo lateral_rats –>|uses| tool_httpx lateral_rats –>|uses| tool_snowrust %% Privilege Escalation Flow discovery_groups –>|supports| priv_esc %% Command and Control Flow priv_esc –>|reports to| c2_proxy c2_proxy –>|routes through| c2_proxy_int c2_proxy –>|routes through| c2_proxy_ext c2_proxy –>|uses| c2_tunnel c2_tunnel –>|establishes| c2_cloudapi c2_cloudapi –>|communicates via| c2_onedrive c2_cloudapi –>|communicates via| c2_github c2_cloudapi –>|communicates via| c2_gamespot c2_cloudapi –>|uses| c2_web c2_web –>|enables| c2_multi c2_multi –>|delivers| exfil_web %% Styling class initial_access,exec_proxy,exec_msbuild,exec_shared,persistence_task,defev_evasion,defev_signing,defev_rommon,discovery_account,discovery_groups,discovery_netconn,discovery_remotes,discovery_scanning,discovery_netconfig,discovery_cloud,discovery_cfg_repo,lateral_wmi,lateral_smb,lateral_transfer,lateral_taint,lateral_cloud,lateral_rats,priv_esc,c2_proxy,c2_tunnel,c2_cloudapi,c2_web,c2_multi,exfil_web action class vuln_app,control_panel,msbuild,yandex_exe,vmtools_exe,malware_nedraft,malware_cloudsorcerer,malware_vshell,scheduled_task,rommon_driver,tool_gogo,tool_httpx,tool_snowrust,tool_gogo,tool_httpx,tool_snowrust,c2_proxy_int,c2_proxy_ext,c2_onedrive,c2_github,c2_gamespot tool class rommon_driver malware "

Атакова схема

Виявлення

Підозріле використання CURL (через командний рядок)

Команда SOC Prime
05 травня 2026

Перегляд

Можливе зловживання доменами Cloudflare Development (через DNS)

Команда SOC Prime
05 травня 2026

Перегляд

Можливі шаблони командного рядку Impacket (через командний рядок)

Команда SOC Prime
05 травня 2026

Перегляд

Можливе використання інструментів Sysinternals (через командний рядок)

Команда SOC Prime
05 травня 2026

Перегляд

Powershell, що виконує файл у підозрілій директорії з використанням політики Bypass Execution (через командний рядок)

Команда SOC Prime
05 травня 2026

Перегляд

Можливе системне перерахування (через командний рядок)

Команда SOC Prime
05 травня 2026

Перегляд

Можливе виявлення віддалених систем або перевірка підключення (через командний рядок)

Команда SOC Prime
05 травня 2026

Перегляд

Можливе перерахування облікового запису адміністратора або групи (через командний рядок)

Команда SOC Prime
05 травня 2026

Перегляд

Підозрілий пошук довіри до домену (через командний рядок)

Команда SOC Prime
05 травня 2026

Перегляд

Можливе виявлення конфігурації мережі системи (через командний рядок)

Команда SOC Prime
05 травня 2026

Перегляд

Заплановані завдання Schtasks вказують на підозрілу директорію / бінарний файл / скрипт (через командний рядок)

Команда SOC Prime
05 травня 2026

Перегляд

LOLBAS wmic (через командний рядок)

Команда SOC Prime
05 травня 2026

Перегляд

Використання Certutil для кодування даних і сертифікаційних операцій (через командний рядок)

Команда SOC Prime
05 травня 2026

Перегляд

Підозріле виконання з публічного профіля користувача (через створення процесу)

Команда SOC Prime
05 травня 2026

Перегляд

Можливе збирання даних [7zip] (через командний рядок)

Команда SOC Prime
05 травня 2026

Перегляд

Підозрілі файли у публічному профілі користувача (через подію файлу)

Команда SOC Prime
05 травня 2026

Перегляд

Підозріле завантаження файлу з прямої IP-адреси (через проксі)

Команда SOC Prime
05 травня 2026

Перегляд

Ідентифікатори компрометування (HashSha256) для виявлення: UAT-8302 та його набору шкідливого ПЗ

Правила SOC Prime AI
05 травня 2026

Перегляд

Ідентифікатори компрометування (SourceIP) для виявлення: UAT-8302 та його набору шкідливого ПЗ

Правила SOC Prime AI
05 травня 2026

Перегляд

Ідентифікатори компрометування (DestinationIP) для виявлення: UAT-8302 та його набору шкідливого ПЗ

Правила SOC Prime AI
05 травня 2026

Перегляд

Створення запланованих завдань та процесів WMIC UAT-8302 [створення процесу Windows]

Правила SOC Prime AI
05 травня 2026

Перегляд

Виявлення діяльності розвідки UAT-8302 PowerShell [Windows PowerShell]

Правила SOC Prime AI
05 травня 2026

Перегляд

Виконання симуляцій

Попередня умова: повинен бути пройдений чек передзаписного телеметрії та базового рівня.

Обґрунтування: цей розділ детально описує точне виконання техніки противника (TTP), розробленої для виклику правила виявлення. Команди та оповідання ПОВИННІ безпосередньо відображати визначені TTPs і націлені на створення точної телеметрії, очікуваної логікою виявлення.

  • Атака:
    Противник, який отримав точку опори на приєднаному до домену хості Windows, прагне провести швидку розвідку каталогів Active Directory та журналів безпеки за допомогою відомого посібника UAT-8302. Щоб уникнути виявлення, атакуючий спочатку вимикає транскрипцію PowerShell, а потім вводить три точні командні рядки, на які налаштоване правило Sigma:

    1. Розгорнути тимчасовий скрипт (whatpc.ps1) до папки Temp і виконати його з обходом політики виконання.
    2. Перелічіть усіх користувачів AD і вибрані властивості в одному конвеєрі.
    3. Список конфігурації журналу подій безпеки, щоб оцінити, що можна прочитати або очистити пізніше.

    Ці команди генерують події PowerShell (EventID 4104), яких Командний рядок Поля збігаються із селекторами правила selection1‑3 клаузули, тому має запускати сигналізацію.

  • Скрипт тесту на регресію:

    # -------------------------------------------------
# UAT‑8302 Симуляційний скрипт розвідки
# -------------------------------------------------
# 1. Розгортання та запуск фіктивного скрипта (whatpc.ps1)
$scriptPath = "$env:windirTempwhatpc.ps1"
Set-Content -Path $scriptPath -Value '# Фіктивний скрипт для тестування виявлення' -Encoding ASCII
powershell -ExecutionPolicy Bypass -WindowStyle Hidden -File $scriptPath

# 2. Перелічення користувачів AD (вимагає модуля RSAT AD)
powershell -Command "Get-ADUser -Filter * -Property * | Select-Object Name, DisplayName, LastLogonDate, PasswordLastSet, PasswordExpired, Description, EmailAddress, homeDirectory, scriptPath"

# 3. Перелічення журналу безпеки
powershell -Command "Get-WinEvent -ListLog Security | Format-List LogName, FileSize, LogMode, MaximumSizeInBytes, RecordCount"
# -------------------------------------------------

  • Команди очищення:

    # Видалити тимчасовий скрипт
Remove-Item -Path "$env:windirTempwhatpc.ps1" -Force

# При необхідності очистити історію сеансів PowerShell (якщо збережено)
Clear-History

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам розпочати та отримати негайну цінність, забронюйте зустріч зараз з експертами SOC Prime.

Приєднатися безкоштовно