UAT-8837として追跡され、中国とつながっていると考えられている高度な脅威行為者は、北米の重要なインフラシステムに焦点を当てており、既知の脆弱性とゼロデイ脆弱性の両方を悪用してアクセスを獲得している。
このハッカー集団は少なくとも2025年以降活動しており、その目的は主に標的とした組織への初期アクセスを得ることにあるようだと、シスコ・タロスの研究者は本日のレポートで述べている。
前回のレポートでは、少なくとも2022年以降に活動し、内部的にはUAT-7290として追跡されている別の中国に関連した行為者も、アクセス権の取得を任務としていると指摘している。しかし、この攻撃者もスパイ活動に関与していると指摘している。
UAT-8837の攻撃は通常、漏洩した認証情報を活用するか、サーバーの脆弱性を悪用することから始まります。
最近のインシデントでは、Sitecore製品のViewState Deserializationのゼロデイ欠陥であるCVE-2025-53690を悪用しました。
Mandiantの研究者は2025年9月初旬、「WeepSteel」と名付けられた偵察用バックドアの展開を確認した攻撃において、CVE-2025-53690が積極的に悪用されるゼロデイとして 報告しました。
Cisco Talosは、UAT-8837と中国の活動との関連性を中程度に確信しており、研究者の評価は、「戦術、技術、手順(TTP)が他の既知の中国関連脅威行為者のものと重複していることに基づく」としています。
ネットワークに侵入した後、UAT-8837はWindowsネイティブコマンドを使用してホストとネットワークの偵察を行い、RDP RestrictedAdminを無効にしてクレデンシャルの採取を容易にする可能性があります。
Cisco Talosのアナリストは、攻撃者の侵入後の活動には、認証情報のような機密データを収集するためのさまざまなコマンドを実行するためのハンズオンキーボード操作が含まれると指摘しています。
これらの攻撃で観察されたツーリングについて、UAT-8837は主にオープンソースとliving-off-the-landユーティリティを使用しており、検出を回避するために継続的に亜種を繰り返しています。Cisco Talosのレポートで強調されたツールには、次のようなものがあります:
- GoTokenTheft、Rubeus、Certipy– アクセストークンを盗み出し、Kerberosを悪用し、Active Directory関連の認証情報と証明書データを収集します。
- SharpHound、Certipy、setspn、dsquery、dsget– Active Directoryのユーザー、グループ、SPN、サービスアカウント、ドメイン関係を列挙する。
- Impacket、Invoke-WMIExec、GoExec、SharpWMI – WMIおよびDCOMを介してリモート・システム上でコマンドを実行します。
- Earthworm – 逆 SOCKS トンネルを作成し、内部システムを攻撃者が制御するインフラに公開します。
- DWAgent – アクセスを維持し、追加のペイロードを展開するためのリモート管理ツール。
- Windows コマンドとユーティリティ– パスワードや設定を含む、ホスト、ネットワーク、セキュリティ・ポリシー情報を収集します。
分析された侵入で実行されたコマンドから、研究者は、攻撃者が認証情報、ADトポロジーと信頼関係、セキュリティ・ポリシーと設定をターゲットにしていると結論づけた。
少なくとも1回、ハッカーは被害者が使用する製品からDLLを流出させ、将来のトロイの木馬化やサプライチェーン攻撃に使用される可能性がありました。
Cisco Talosのレポートでは、攻撃で使用されたコマンドとツールの例、およびUAT-8837の活動に対する侵害の指標のリストが示されています。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
2026年CISO予算ベンチマーク
予算の季節です!300人以上のCISOやセキュリティ・リーダーが、来年に向けてどのような計画、支出、優先順位付けを行っているかを発表しました。本レポートでは、2026年に向けた戦略のベンチマーク、新たなトレンドの特定、優先事項の比較を可能にするために、彼らの洞察をまとめています。
トップリーダーがどのように投資を測定可能なインパクトに変えているかをご覧ください。
Comments