一个名为UAT-8302的黑客组织正把南美和东南欧的政府机构当作猎物。他们不用什么花哨的零日漏洞,而是把定制木马和开源工具混在一起,低调地窃取敏感数据。
这个组织至少从2024年底就开始活动,2025年明显加大了对东南欧政府目标的攻势。他们的打法很务实:混进去、藏住、能拿多少拿多少。
真正让防御者头疼的是他们的"隐身术"。UAT-8302把正规云服务、开源工具和自己的恶意程序搭配使用,让安全团队很难分辨哪些流量是正常的、哪些是有害的。这种"合法工具武器化"的思路,比纯定制攻击更难检测。
Cisco Talos的研究人员把UAT-8302定性为与中国有关联的高级持续性威胁(APT)组织,核心任务就是长期渗透全球各地的政府及相关机构。Talos高度确信,该组织与多个已公开的中国关联威胁集群共享工具,包括他们追踪的LongNosedGoblin。工具和技术的高度重合,暗示这些组织之间存在紧密的协作关系。
入侵后的操作是一套成熟的标准流程:先收集凭据,再抓取Active Directory信息,把整个网络环境摸清楚,最后才部署更多恶意软件。他们用Impacket、定制PowerShell脚本、开源扫描引擎来发现所有能触及的终端——确保完全掌控环境后再决定下一步。
UAT-8302的工具库相当丰富。NetDraft是其中最突出的武器之一,这是一个.NET后门,与FinDraft和SquidDoor家族有关联。它通过DLL侧加载技术投递:一个正常可执行文件加载恶意DLL加载器,后者解码并在现有进程中运行NetDraft。该木马利用Microsoft Graph API与基于OneDrive的指挥控制服务器通信,借此混入正常的云流量。
除了NetDraft,该组织还部署了CloudSorcerer后门的更新版本,以及VSHELL植入程序。在一次已记录的入侵中,他们同时使用了SNAPPYBEE和ZingDoor——这一战术在Trend Micro 2024年关于类似中国关联活动的报告中也曾被独立提及。
攻击者表现出极高的耐心,对每个可达终端进行深入、系统的侦察,然后再向目标环境纵深推进。这种谨慎、有预谋的打法,正是国家支持型威胁行动针对高价值政府基础设施的典型特征。
热门跟贴