Tin tặc Trung Quốc khai thác lỗ hổng zero-day của Sitecore để giành quyền truy cập ban đầu

Một nhóm tin tặc tinh vi được theo dõi với tên gọi UAT-8837 và được cho là có liên hệ với Trung Quốc đang tập trung vào các hệ thống cơ sở hạ tầng trọng yếu ở Bắc Mỹ, xâm nhập bằng cách khai thác kết hợp các lỗ hổng đã biết và lỗ hổng chưa được phát hiện (zero-day).

Báo cáo mới đây của Cisco Talos cho biết, nhóm tin tặc này đã hoạt động ít nhất từ năm 2025, mục đích chính của chúng dường như là giành quyền truy cập ban đầu vào các tổ chức mục tiêu.

Trong một phân tích trước đó, các nhà nghiên cứu cũng lưu ý rằng một nhóm tin tặc khác có liên hệ với Trung Quốc, được theo dõi nội bộ với mã định danh UAT-7290 và hoạt động ít nhất từ năm 2022, cũng đang tiến hành các hành vi để giành quyền truy cập trên thiết bị mục tiêu. Tuy nhiên, Cisco nhận định kẻ tấn công này còn tham gia vào hoạt động gián điệp.

Các cuộc tấn công UAT-8837 thường bắt đầu bằng việc lợi dụng thông tin đăng nhập bị đánh cắp hoặc khai thác các lỗ hổng bảo mật của máy chủ.

Trong một sự cố gần đây, kẻ tấn công khai thác CVE-2025-53690, một lỗ hổng zero-day liên quan đến việc giải mã ViewState trong các sản phẩm của Sitecore, điều này có thể cho thấy chúng đã tiếp cận được các vấn đề bảo mật chưa được tiết lộ.

Các nhà nghiên cứu của Mandiant từng báo cáo CVE-2025-53690 là một lỗ hổng bảo mật chưa được khai thác tích cực vào đầu tháng 9/2025, trong một cuộc tấn công mà họ quan sát thấy việc triển khai một backdoor thu thập thông tin có tên “WeepSteel”.

Sau khi xâm nhập mạng, các tin tặc UAT-8837 có thể sử dụng các lệnh gốc của Windows để thực hiện trinh sát máy chủ và mạng, đồng thời vô hiệu hóa RDP RestrictedAdmin nhằm thu thập thông tin đăng nhập.

Các nhà phân tích của Cisco Talos lưu ý các hoạt động sau khai thác (post-exploitation) của kẻ tấn công, bao gồm các thao tác trực tiếp trên bàn phím để chạy nhiều lệnh khác nhau để thu thập dữ liệu nhạy cảm, chẳng hạn như thông tin đăng nhập.

Về các công cụ triển khai trong các cuộc tấn công này, UAT-8837 chủ yếu sử dụng các tiện ích mã nguồn mở và có sẵn, liên tục thay đổi các biến thể để tránh bị phát hiện. Một số công cụ được nêu bật trong báo cáo của Cisco Talos bao gồm:

- GoTokenTheft, Rubeus, Certipy: Được sử dụng để đánh cắp token truy cập, lạm dụng Kerberos và thu thập thông tin xác thực và chứng thư số liên quan đến Active Directory.

- SharpHound, Certipy, setspn, dsquery, dsget: Liệt kê người dùng, nhóm, SPN, tài khoản dịch vụ và các mối quan hệ miền trong Active Directory.

- Impacket, Invoke-WMIExec, GoExec, SharpWMI: Thực thi các lệnh trên hệ thống từ xa thông qua WMI và DCOM; tác nhân sẽ chuyển đổi giữa các công cụ khi quá trình thực thi bị chặn bởi cơ chế phát hiện.

- Earthworm: Tạo ra các đường hầm reverse SOCKS.

- DWAgent: Đây là công cụ quản trị từ xa để duy trì quyền truy cập và triển khai các phần mềm bổ sung.

- Các lệnh và tiện ích của Windows: Thu thập thông tin về máy chủ, mạng và chính sách bảo mật, bao gồm mật khẩu và cài đặt.

Dựa trên các lệnh được thực thi trong cuộc tấn công đã phân tích, các nhà nghiên cứu kết luận rằng kẻ tấn công nhắm mục tiêu vào thông tin đăng nhập, cấu trúc liên kết Active Directory và các mối quan hệ tin cậy, cũng như các chính sách và cấu hình bảo mật.

Ít nhất một lần, tin tặc đã đánh cắp một tệp tin DLL từ sản phẩm mà nạn nhân sử dụng, tệp tin này có thể được dùng cho các cuộc tấn công mã độc và tấn công chuỗi cung ứng trong tương lai.

Báo cáo của Cisco Talos cung cấp các ví dụ về các lệnh và công cụ được sử dụng trong cuộc tấn công, cũng như danh sách các dấu hiệu cho thấy sự xâm phạm đối với hoạt động UAT-8837. Quý độc giả có thể theo dõi tại đây.