Folgen 
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Cisco Talos hat eine China-vernetzte APT-Gruppe, die als UAT-8302 verfolgt wird, mit Angriffen auf Regierungsorganisationen in Südamerika seit Ende 2024 und in Südosteuropa im Jahr 2025 in Verbindung gebracht. Die Gruppe setzt ein breites Malware-Toolkit ein, das NetDraft, CloudSorcerer v3, VSHELL, SNOWLIGHT, SNOWRUST und zusätzliche benutzerdefinierte Komponenten umfasst. Ihre Operationen setzen auch auf Open-Source-Tools wie Impacket, Proxying-Utilities und maßgeschneiderte Skripte, um die Aufklärung, den Diebstahl von Anmeldeinformationen und die seitliche Bewegung im Umfeld der Opfer zu unterstützen.
Untersuchung
Talos dokumentierte die Malware-Lieferkette der Gruppe, ihre Verwendung von geplanten Aufgaben zur Persistenz und den Missbrauch von vertrauenswürdigen Diensten wie Microsoft Graph für die Befehls- und Kontrollmechanismen. Die Forscher beobachteten auch DLL Sideloading-Loader, Aufklärungsbefehle, Netzwerk-Scan-Utilities und eine Infrastruktur, die für die Bereitstellung von Nutzlasten und den Fernzugriff bestimmt war. Der Bericht stellte außerdem Überschneidungen in den Werkzeugen und der Vorgehensweise mit anderen China-verbundenen Clustern fest, darunter Jewelbug, Earth Estries und mehrere nach UNC verfolgte Gruppen.
Minderung
Organisationen sollten die referenzierten Schwachstellen patchen, einschließlich CVE-2025-0994, CVE-2025-20333, und CVE-2025-20362, und strenge Kontrollen für Office 365 und OneDrive APIs anwenden, die für Kommandos und Kontrolle missbraucht werden könnten. Verteidiger sollten auch die bekannten bösartigen Domains und IP-Adressen blockieren, unnötige Dienste deaktivieren und Tools zur entfernten Ausführung wie Impacket und WMI, soweit möglich, einschränken. Die Überwachung sollte sich auf die identifizierten Namen geplanter Aufgaben und DLL Sideloading-Muster konzentrieren, die mit der Kampagne in Verbindung stehen.
Reaktion
Sicherheitsteams sollten auf die aufgeführten Indikatoren einer Kompromittierung aufmerksam machen, betroffene Systeme isolieren und relevante Protokolle und forensische Artefakte zur Analyse sammeln. Anmeldedaten sollten umgehend gewechselt werden, und das Active Directory sollte sorgfältig auf Anzeichen einer Kompromittierung oder unbefugtem Zugriff überprüft werden. Auch der Erkennungsinhalt sollte aktualisiert werden, um die beobachteten Befehlszeilen und geplanten Aufgaben abzudecken, während Verteidiger nach zusätzlichen Implantaten aus denselben Malware-Familien im gesamten Umfeld suchen.
"graph TB %% Klassendefinitionen classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef process fill:#cccccc classDef operator fill:#ff9900 %% Erste Zugriff initial_access["<b>Aktion</b> – <b>T1190 Ausnützung einer öffentlich zugänglichen Anwendung</b><br/><b>Beschreibung</b>: Ausnutzung eines verwundbaren, internetexponierten Dienstes, um sich einen ersten Zugang zu verschaffen."] class initial_access action vuln_app["<b>Tool</b> – <b>Name</b>: Cityworks (verletzt)<br/><b>Beschreibung</b>: Öffentlich zugängliche Anwendung mit CVE-2025-0994."] class vuln_app tool %% Ausführung – System Binary Proxy exec_proxy["<b>Aktion</b> – <b>T1218.002 System Binary Proxy Execution</b><br/><b>Beschreibung</b>: Missbrauch vertrauenswürdiger System-Binaries, um die Ausführung bösartigen Codes zu proxyen."] class exec_proxy action control_panel["<b>Tool</b> – <b>Name</b>: Systemsteuerung<br/><b>Beschreibung</b>: Legitimes Binary, das als Proxy verwendet wird."] class control_panel tool %% Ausführung – Vertrauenswürdige Entwickler-Utilities Proxy (MSBuild) exec_msbuild["<b>Aktion</b> – <b>T1127.001 Vertrauenswürdige Entwickler-Utilities Proxy Execution</b><br/><b>Beschreibung</b>: Verwenden Sie MSBuild, um bösartige DLLs über Sideloading zu laden."] class exec_msbuild action msbuild["<b>Tool</b> – <b>Name</b>: MSBuild<br/><b>Beschreibung</b>: Microsoft Build-Engine, die zur Ausführung von Projektdateien verwendet wird."] class msbuild tool %% Ausführung – Gemeinsame Module (DLL Side-loading) exec_shared["<b>Aktion</b> – <b>T1129 Gemeinsame Module</b><br/><b>Beschreibung</b>: Laden Sie bösartige DLLs, indem Sie sie neben gutartigen ausführbaren Dateien platzieren."] class exec_shared action yandex_exe["<b>Tool</b> – <b>Name</b>: Yandex.exe<br/><b>Beschreibung</b>: Legitimes ausführbares Programm, das als Dropper verwendet wird."] class yandex_exe tool vmtools_exe["<b>Tool</b> – <b>Name</b>: VMtools.exe<br/><b>Beschreibung</b>: VMware-Tools-Binary, das zum Side-loading verwendet wird."] class vmtools_exe tool malware_nedraft["<b>Malware</b> – <b>Name</b>: NetDraft"] class malware_nedraft malware malware_cloudsorcerer["<b>Malware</b> – <b>Name</b>: CloudSorcerer"] class malware_cloudsorcerer malware malware_vshell["<b>Malware</b> – <b>Name</b>: VSHELL"] class malware_vshell malware %% Persistenz – Geplante Aufgabe persistence_task["<b>Aktion</b> – <b>T1053 Geplante Aufgabe/Job</b><br/><b>Beschreibung</b>: Erstellen Sie geplante Aufgaben, um bösartige Binärdateien dauerhaft auszuführen."] class persistence_task action scheduled_task["<b>Tool</b> – <b>Name</b>: MicrosoftMaps{…}<br/><b>Beschreibung</b>: Geplante Aufgabe zur Persistenz verwendet."] class scheduled_task tool %% Angriffsumgehung – Ausnützung zur Umgehung defev_evasion["<b>Aktion</b> – <b>T1211 Ausnützung zur Umgehung von Verteidigungsmaßnahmen</b><br/><b>Beschreibung</b>: Nutzung von Schwachstellen zur Umgehung von Sicherheitskontrollen."] class defev_evasion action %% Angriffsumgehung – Subvertierung der Vertrauensmaßnahmen (Code-Signierung) defev_signing["<b>Aktion</b> – <b>T1553.006 Subvertierung der Vertrauensmaßnahmen</b><br/><b>Beschreibung</b>: Ändern Sie die Code-Signierungsrichtlinien, um bösartige Binärdateien zu vertrauen."] class defev_signing action %% Angriffsumgehung – Pre-OS Boot (ROMMONkit) defev_rommon["<b>Aktion</b> – <b>T1542.004 Pre-OS Boot: ROMMONkit</b><br/><b>Beschreibung</b>: Installieren Sie einen bösartigen Treiber während des Firmware-Boots."] class defev_rommon action rommon_driver["<b>Tool</b> – <b>Name</b>: Hades HIPS Treiber"] class rommon_driver tool %% Ermittlung – Konto- und Gruppen discovery_account["<b>Aktion</b> – <b>T1087.002 Kontenermittlung: Domänenkonto</b><br/><b>Beschreibung</b>: Aufzählung von Domänenbenutzerkonten."] class discovery_account action discovery_groups["<b>Aktion</b> – <b>T1069.002 Berechtigungsgruppenermittlung: Domänengruppen</b><br/><b>Beschreibung</b>: Aufzählung der Domänengruppen."] class discovery_groups action %% Ermittlung – Netzwerk discovery_netconn["<b>Aktion</b> – <b>T1049 Systemnetzwerkverbindungen Ermittlung</b><br/><b>Beschreibung</b>: Erkennen von aktiven Netzwerkverbindungen."] class discovery_netconn action discovery_remotes["<b>Aktion</b> – <b>T1018 Fernsystemermittlung</b><br/><b>Beschreibung</b>: Finden Sie entfernte Systeme im Netzwerk."] class discovery_remotes action discovery_scanning["<b>Aktion</b> – <b>T1595.001 Aktives Scannen: IP-Blöcke scannen</b><br/><b>Beschreibung</b>: Scannen Sie IP-Bereiche nach aktiven Hosts."] class discovery_scanning action discovery_netconfig["<b>Aktion</b> – <b>T1016.001 Systemnetzwerkkonfigurationsermittlung: Internetverbindungsermittlung</b><br/><b>Beschreibung</b>: Sammeln von Netzwerkkonfigurationsdetails."] class discovery_netconfig action discovery_cloud["<b>Aktion</b> – <b>T1526 Cloud-Dienstermittlung</b><br/><b>Beschreibung</b>: Identifizieren von Cloud-Dienstnutzung."] class discovery_cloud action discovery_cfg_repo["<b>Aktion</b> – <b>T1602 Daten aus Konfigurationsrepository</b><br/><b>Beschreibung</b>: Dumpen der Netzwerkkonfiguration über SNMP MIB."] class discovery_cfg_repo action %% Seitliche Bewegung – Ausnutzung von Fernsystemdiensten lateral_wmi["<b>Aktion</b> – <b>T1210 Ausnutzung von Fernsystemdiensten</b><br/><b>Beschreibung</b>: Verwenden Sie WMI oder SMB, um Code auf entfernten Hosts auszuführen."] class lateral_wmi action lateral_smb["<b>Aktion</b> – <b>T1021.002 Fernsystemdienste: SMB/Windows Admin Shares</b><br/><b>Beschreibung</b>: Zugriff auf Admin Shares für seitliche Bewegung."] class lateral_smb action lateral_transfer["<b>Aktion</b> – <b>T1570 Lateral Tool Transfer</b><br/><b>Beschreibung</b>: Übertragen von Tools auf entfernte Systeme."] class lateral_transfer action lateral_taint["<b>Aktion</b> – <b>T1080 Gemeinsamen Inhalt verderben</b><br/><b>Beschreibung</b>: Beschädigung gemeinsamer Dateien, um Malware zu verbreiten."] class lateral_taint action lateral_cloud["<b>Aktion</b> – <b>T1021.007 Fernsystemdienste: Cloud-Dienste</b><br/><b>Beschreibung</b>: Verwenden von OneDrive oder GitHub für seitliche Bewegungen."] class lateral_cloud action lateral_rats["<b>Aktion</b> – <b>T1219 Fernzugriffstools</b><br/><b>Beschreibung</b>: Einsatz von Tools wie Gogo, httpx, SNOWRUST."] class lateral_rats action tool_gogo["<b>Tool</b> – <b>Name</b>: Gogo"] class tool_gogo tool tool_httpx["<b>Tool</b> – <b>Name</b>: httpx"] class tool_httpx tool tool_snowrust["<b>Tool</b> – <b>Name</b>: SNOWRUST"] class tool_snowrust tool %% Privilegien-Erweiterung – Kontomanipulation priv_esc["<b>Aktion</b> – <b>T1098.007 Kontomanipulation: Zusätzliche lokale oder Domänengruppen</b><br/><b>Beschreibung</b>: Hinzufügen kompromittierter Konten zu privilegierten Gruppen."] class priv_esc action %% Kommandieren und Kontrollieren – Proxy (Multihop) c2_proxy["<b>Aktion</b> – <b>T1090 Proxy</b><br/><b>Beschreibung</b>: Leitet den Verkehr durch interne, externe und Multihop-Proxies."] class c2_proxy action c2_proxy_int["<b>Tool</b> – <b>Name</b>: Interner Proxy"] class c2_proxy_int tool c2_proxy_ext["<b>Tool</b> – <b>Name</b>: Externer Proxy"] class c2_proxy_ext tool %% Kommandieren und Kontrollieren – Protokoll-Tunneling c2_tunnel["<b>Aktion</b> – <b>T1572 Protokoll-Tunneling</b><br/><b>Beschreibung</b>: Verkapselung von C2-Verkehr innerhalb erlaubter Protokolle."] class c2_tunnel action %% Kommandieren und Kontrollieren – Cloud-API c2_cloudapi["<b>Aktion</b> – <b>T1059.009 Befehl und Skriptinterpreter: Cloud-API</b><br/><b>Beschreibung</b>: Verwendung von OneDrive, GitHub, GameSpot-APIs für C2."] class c2_cloudapi action c2_onedrive["<b>Tool</b> – <b>Name</b>: OneDrive"] class c2_onedrive tool c2_github["<b>Tool</b> – <b>Name</b>: GitHub"] class c2_github tool c2_gamespot["<b>Tool</b> – <b>Name</b>: GameSpot"] class c2_gamespot tool %% Kommandieren und Kontrollieren – Webprotokolle c2_web["<b>Aktion</b> – <b>T1071.001 Anwendungsschichtprotokolle: Webprotokolle</b><br/><b>Beschreibung</b>: Kommunikation über HTTP/HTTPS."] class c2_web action %% Kommandieren und Kontrollieren – Multistage-Kanäle c2_multi["<b>Aktion</b> – <b>T1104 Multistage-Kanäle</b><br/><b>Beschreibung</b>: Ketten mehrerer C2-Kanäle für Ausfallsicherheit."] class c2_multi action %% Exfiltration – Über Webdienst exfil_web["<b>Aktion</b> – <b>T1567.002 Exfiltration über Webdienst</b><br/><b>Beschreibung</b>: Upload gestohlener Daten zu Cloudspeicherdiensten."] class exfil_web action %% Verbindungen – Angriff Flow initial_access –>|ausnutzen| vuln_app vuln_app –>|ermöglicht| exec_proxy exec_proxy –>|verwendet| control_panel exec_proxy –>|führt zu| exec_msbuild exec_msbuild –>|verwendet| msbuild exec_msbuild –>|unterstützt| exec_shared exec_shared –>|nutzt aus| yandex_exe exec_shared –>|nutzt aus| vmtools_exe exec_shared –>|lädt| malware_nedraft exec_shared –>|lädt| malware_cloudsorcerer exec_shared –>|lädt| malware_vshell exec_shared –>|erstellt| persistence_task persistence_task –>|erstellt| scheduled_task scheduled_task –>|erhält| defev_evasion defev_evasion –>|enthält| defev_signing defev_signing –>|ändert| rommon_driver defev_evasion –>|enthält| defev_rommon defev_rommon –>|installiert| rommon_driver %% Discovery Flow scheduled_task –>|sammelt| discovery_account scheduled_task –>|sammelt| discovery_groups scheduled_task –>|sammelt| discovery_netconn scheduled_task –>|sammelt| discovery_remotes scheduled_task –>|sammelt| discovery_scanning scheduled_task –>|sammelt| discovery_netconfig scheduled_task –>|sammelt| discovery_cloud scheduled_task –>|sammelt| discovery_cfg_repo %% Seitliche Bewegungsflow discovery_remotes –>|ermöglicht| lateral_wmi lateral_wmi –>|verwendet| lateral_smb lateral_smb –>|überträgt| lateral_transfer lateral_transfer –>|bewegt sich| lateral_cloud lateral_cloud –>|verwendet| c2_onedrive lateral_cloud –>|verwendet| c2_github lateral_cloud –>|verwendet| c2_gamespot lateral_wmi –>|führt aus| lateral_rats lateral_rats –>|verwendet| tool_gogo lateral_rats –>|verwendet| tool_httpx lateral_rats –>|verwendet| tool_snowrust %% Privilegien-Erweiterungsflusse discovery_groups –>|unterstützt| priv_esc %% Kommandieren und Kontrollieren Flow priv_esc –>|meldet sich bei| c2_proxy c2_proxy –>|leitet weiter über| c2_proxy_int c2_proxy –>|leitet weiter über| c2_proxy_ext c2_proxy –>|verwendet| c2_tunnel c2_tunnel –>|etabliert| c2_cloudapi c2_cloudapi –>|kommuniziert über| c2_onedrive c2_cloudapi –>|kommuniziert über| c2_github c2_cloudapi –>|kommuniziert über| c2_gamespot c2_cloudapi –>|verwendet| c2_web c2_web –>|setzt in die Lage| c2_multi c2_multi –>|liefert| exfil_web %% Stilierung class initial_access,exec_proxy,exec_msbuild,exec_shared,persistence_task,defev_evasion,defev_signing,defev_rommon,discovery_account,discovery_groups,discovery_netconn,discovery_remotes,discovery_scanning,discovery_netconfig,discovery_cloud,discovery_cfg_repo,lateral_wmi,lateral_smb,lateral_transfer,lateral_taint,lateral_cloud,lateral_rats,priv_esc,c2_proxy,c2_tunnel,c2_cloudapi,c2_web,c2_multi,exfil_web aktion class vuln_app,control_panel,msbuild,yandex_exe,vmtools_exe,malware_nedraft,malware_cloudsorcerer,malware_vshell,scheduled_task,rommon_driver,tool_gogo,tool_httpx,tool_snowrust,tool_gogo,tool_httpx,tool_snowrust,c2_proxy_int,c2_proxy_ext,c2_onedrive,c2_github,c2_gamespot tool class rommon_driver malware "
Angriffsfluss
Erkennungen
Verdächtige CURL-Nutzung (via cmdline)
Ansehen
Möglicher Missbrauch von Cloudflare-Entwicklungsdomain (via dns)
Ansehen
Mögliche Impacket-Befehlszeilenmuster (via cmdline)
Ansehen
Mögliche Verwendung von Sysinternals-Tools (via cmdline)
Ansehen
Powershell Ausführen von Dateien in verdächtigem Verzeichnis mit Exekutionsrichtlinien-Umgehen (via cmdline)
Ansehen
Mögliche System-Ermittlung (via cmdline)
Ansehen
Mögliche Remote-System-Ermittlung oder Konnektivitätsprüfung (via cmdline)
Ansehen
Mögliche Administrator- oder Gruppenermittlung (via cmdline)
Ansehen
Verdächtige Domain-Vertrauensermittlung (via cmdline)
Ansehen
Mögliche System-Netzwerkkonfigurationsermittlung (via cmdline)
Ansehen
Schtasks verweist auf verdächtiges Verzeichnis/Binary/Skript (via cmdline)
Ansehen
LOLBAS wmic (via cmdline)
Ansehen
Verwendung von Certutil für Datenkodierung und Zertifikatsoperationen (via cmdline)
Ansehen
Verdächtige Ausführung aus öffentlichem Benutzerprofil (via process_creation)
Ansehen
Mögliche Datensammlung [7zip] (via cmdline)
Ansehen
Verdächtige Dateien im öffentlichen Benutzerprofil (via file_event)
Ansehen
Verdächtiger Dateidownload Direkt-IP (via proxy)
Ansehen
IOCs (HashSha256) zur Erkennung: UAT-8302 und seine Box voller Malware
Ansehen
IOCs (SourceIP) zur Erkennung: UAT-8302 und seine Box voller Malware
Ansehen
IOCs (DestinationIP) zur Erkennung: UAT-8302 und seine Box voller Malware
Ansehen
Geplante Aufgabe und WMIC-Prozess-Erstellung durch UAT-8302 [Windows-Prozess-Erstellung]
Ansehen
Erkennen von UAT-8302 PowerShell-Erkundungsaktivitäten [Windows PowerShell]
Ansehen
Simulationausführung
Voraussetzung: Der Telemetrie- und Basislinien-Vorbereitungscheck muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der gegnerischen Technik (TTP), die entworfen wurde, um die Erkennungsregel aufzurufen. Die Befehle und das Narrativ MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die exakte Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.
-
Angriffsnarrativ & Befehle:
Ein Angreifer, der einen Zugriff auf einen Domänen-verbundenen Windows-Host erlangt hat, möchte eine schnelle Aufklärung des Active Directory und der Sicherheitsprotokolle durchführen, analog zum bekannten UAT-8302-Playbook. Um eine Erkennung zu vermeiden, deaktiviert der Angreifer zunächst die PowerShell-Transkription, dann gibt er die drei genauen Befehlszeilen ein, auf die die Sigma-Regel abgestimmt ist:- Ein temporäres Skript bereitstellen (
whatpc.ps1) in den Temp-Ordner und es mit umgangener Ausführungsrichtlinie ausführen. - Alle AD-Benutzer und ausgewählte Eigenschaften in einer einzigen Pipeline auflisten.
- Die Sicherheitsereignisprotokollkonfiguration auflisten, um einzuschätzen, was später gelesen oder gelöscht werden kann.
Diese Befehle generieren PowerShell-Betriebsereignisse (EventID 4104), deren
BefehlszeileFelder den der Regel zugeordnetenAuswahl1-3Klauseln entsprechen, sollten daher einen Alarm auslösen. - Ein temporäres Skript bereitstellen (
-
Regression-Test-Skript:
# ------------------------------------------------- # UAT-8302 Erkundungssimulationsskript # ------------------------------------------------- # 1. Ein Dummy-Skript bereitstellen und ausführen (whatpc.ps1) $scriptPath = "$env:windirTempwhatpc.ps1" Set-Content -Path $scriptPath -Value '# Dummy-Skript für Detektionstests' -Encoding ASCII powershell -ExecutionPolicy Bypass -WindowStyle Hidden -File $scriptPath # 2. AD-Benutzerermittlung (erfordert RSAT AD-Modul) powershell -Command "Get-ADUser -Filter * -Property * | Select-Object Name, DisplayName, LastLogonDate, PasswordLastSet, PasswordExpired, Description, EmailAddress, homeDirectory, scriptPath" # 3. Ermittlung des Sicherheitsprotokolls powershell -Command "Get-WinEvent -ListLog Security | Format-List LogName, FileSize, LogMode, MaximumSizeInBytes, RecordCount" # ------------------------------------------------- -
Bereinigungsbefehle:
# Entfernen des temporären Skripts Remove-Item -Path "$env:windirTempwhatpc.ps1" -Force # Gegebenenfalls PowerShell-Sitzungsverlauf löschen (falls beibehalten) Clear-History