Loading... # UAT-8837 组织利用 Sitecore 零日漏洞攻击技术分析 # 一、新闻概述 ## 1. 标题 中国关联黑客组织 UAT-8837 利用 Sitecore 零日漏洞获取初始访问权限 ## 2. 发布时间 2026 年 1 月 16 日 ## 3. 来源 BleepingComputer,基于 Cisco Talos 安全研究报告 # 二、核心内容 ## 1. 事件摘要 ### A. 主要内容 一个追踪代号为 UAT-8837 的中国关联高级威胁组织,正专注于攻击北美地区的关键基础设施系统,通过利用已知漏洞和零日漏洞获取初始访问权限。 ### B. 核心亮点 - 利用 Sitecore ViewState 反序列化零日漏洞(CVE-2025-53690) - 针对北美关键基础设施的初始访问攻击 - 使用大量开源工具和 LOTL(Living Off The Land)技术 - 目标是获取凭证和 Active Directory 拓扑信息 ## 2. 关键信息 ### A. 漏洞编号 CVE-2025-53690(Sitecore ViewState 反序列化零日漏洞) ### B. 重要数据 - 活跃时间:至少从 2025 年开始 - 目标区域:北美关键基础设施 - 攻击目的:获取初始访问权限 ### C. 涉及产品 - Sitecore 产品 - Windows 系统 - Active Directory ## 3. 背景介绍 ### A. 相关组织 Cisco Talos 研究人员在之前的报告中还提到了另一个中国关联组织 UAT-7290,该组织自 2022 年以来活跃,同样负责获取访问权限,但还涉及间谍活动。 ### B. 相关上下文 Mandiant 研究人员在 2025 年 9 月初报告称 CVE-2025-53690 为正在被积极利用的零日漏洞,在攻击中观察到了名为 WeepSteel 的侦察后门部署。 # 三、详细报道 ## 1. 主要内容 ### A. 攻击流程 UAT-8837 的攻击通常从以下两种方式开始: - 利用泄露的凭证 - 利用服务器漏洞 在最近的事件中,威胁者利用了 CVE-2025-53690,这是 Sitecore 产品中的一个 ViewState 反序列化零日漏洞。 ### B. 攻击技术 - ViewState 反序列化攻击 - 凭证窃取和滥用 - Active Directory 枚举和侦察 - 远程命令执行(WMI、DCOM) ### C. 后渗透活动 - 使用 Windows 原生命令进行主机和网络侦察 - 禁用 RDP RestrictedAdmin 以便利凭证收集 - 人工键盘操作执行各种命令收集敏感数据 ## 2. 技术细节 ### A. 攻击链路 ```mermaid graph LR A[初始访问] --> B{攻击向量} B -->|泄露凭证| C[凭证登录] B -->|漏洞利用| D[零日漏洞] D --> E[CVE-2025-53690] E --> F[ViewState 反序列化] F --> G[部署 WeepSteel 后门] C --> H[网络侦察] G --> H H --> I[凭证窃取] I --> J[AD 枚举] J --> K[横向移动] K --> L[数据窃取] ```  ### B. 工具清单 **凭证窃取工具**: - GoTokenTheft:窃取访问令牌 - Rubeus:滥用 Kerberos - Certipy:收集 Active Directory 相关凭证和证书数据 **Active Directory 枚举工具**: - SharpHound:枚举用户、组、SPN、服务账户和域关系 - Certipy:证书相关枚举 - setspn:服务主体名称枚举 - dsquery、dsget:目录服务查询 **远程执行工具**: - Impacket:通过 WMI 和 DCOM 执行远程命令 - Invoke-WMIExec:WMI 命令执行 - GoExec:Go 编写的执行工具 - SharpWMI:Sharp 编写的 WMI 工具 - 攻击者在检测阻止执行时会循环使用这些工具 **隧道和持久化工具**: - Earthworm:创建反向 SOCKS 隧道,将内部系统暴露给攻击者控制的基础设施 - DWAgent:用于维持访问权限和部署额外负载的远程管理工具 ### C. 攻击目标 根据执行的命令分析,攻击者的主要目标包括: - 凭证收集 - Active Directory 拓扑和信任关系 - 安全策略和配置信息 - 密码和设置信息 ### D. 供应链攻击风险 至少在一次入侵中,黑客窃取了受害者使用的产品 DLL 文件,这可能用于未来的木马化植入和供应链攻击。 ## 3. 数据与事实 ### A. 组织归属 Cisco Talos 对 UAT-8837 与中国运营的关联有中等信心,评估基于与其他已知中国关联威胁组织的战术、技术和程序(TTP)重叠。 ### B. 检测绕过 UAT-8837 主要使用开源系统和 LOTL 实用程序,不断循环变体以逃避检测。 # 四、影响分析 ## 1. 行业影响 ### A. 安全趋势 - 零日漏洞利用持续威胁关键基础设施 - ViewState 反序列化成为 Web 应用攻击的重要向量 - LOTL 技术的使用增加了检测难度 ### B. 攻击趋势 - 针对初始访问的攻击组织专业化分工 - 凭证窃取和 AD 枚举成为攻击的标准流程 - 供应链攻击风险上升 ## 2. 用户影响 ### A. Sitecore 用户 - 需要立即检查是否存在 CVE-2025-53690 漏洞 - 监控异常的 ViewState 处理活动 - 加强 Active Directory 安全监控 ### B. 关键基础设施 - 北美地区的能源、交通、通信等行业是主要目标 - 需要加强凭证管理和访问控制 - 建立完善的入侵检测和响应机制 ### C. 防御建议 - 及时修补已知漏洞 - 监控异常的网络活动和命令执行 - 实施 Active Directory 安全最佳实践 - 使用多因素认证加强凭证保护 ## 3. 技术趋势 ### A. 攻击技术方向 - 持续利用零日漏洞获取初始访问 - 更多使用开源工具和 LOLBins 降低攻击成本 - 人工键盘操作和自动化工具结合使用 ### B. 防御技术方向 - 需要更好的行为分析和异常检测 - 加强 Web 应用输入验证和反序列化安全 - 实施 Zero Trust 架构减少横向移动风险 # 五、各方反应 ## 1. 官方回应 Cisco Talos 发布了详细的安全研究报告,提供了攻击中使用的命令和工具示例,以及 UAT-8837 活动的入侵指标(IOC)列表。 ## 2. 业内评价 ### A. Mandiant 报告 Mandiant 研究人员在 2025 年 9 月初首次报告了 CVE-2025-53690 的主动利用情况,观察到 WeepSteel 侦察后门的部署。 ### B. Cisco Talos 分析 Cisco Talos 强调了该组织的专业化和工具链的多样化,指出其持续改进检测绕过技术。 ## 3. 用户反馈 ### A. 安全关注 - Sitecore 用户需要紧急评估漏洞风险 - 关键基础设施运营商应加强安全监控 ### B. 防御挑战 - LOTL 技术的检测难度较高 - 需要综合使用多种安全工具和策略 # 六、相关链接 ## 1. 官方公告 - Cisco Talos 安全研究报告 - Mandiant CVE-2025-53690 报告 - Sitecore 安全公告 ## 2. 相关报道 - BleepingComputer 原始报道 - Cisco AsyncOS 零日漏洞修补报告 - VMware ESXi 零日漏洞分析 ## 3. 技术文档 - ViewState 反序列化漏洞原理 - Active Directory 安全最佳实践 - LOTL 攻击检测指南 # 七、技术深度解析 ## 1. ViewState 反序列化漏洞 ### A. 漏洞原理 ViewState 是 ASP.NET Web 表单中用于保持页面状态的技术。当应用程序使用不安全的反序列化配置时,攻击者可以构造恶意的 ViewState 数据,在服务器端反序列化过程中执行任意代码。 ### B. 攻击流程 1. 攻击者分析目标 Sitecore 应用程序 2. 识别 ViewState 处理端点 3. 生成恶意序列化 payload 4. 发送包含恶意 ViewState 的请求 5. 服务器反序列化 payload 并执行恶意代码 6. 部署后门并建立持久化访问 ### C. 防御措施 - 启用 ViewState MAC(消息认证代码) - 使用强密钥加密 ViewState - 禁用不必要的 ViewState 功能 - 实施输入验证和输出编码 - 定期更新 .NET 框架和 Sitecore 版本 ## 2. Active Directory 攻击技术 ### A. 凭证窃取 攻击者使用多种工具窃取凭证: - LSASS 内存转储分析 - Kerberos 票据窃取和重放 - 证书私钥提取 - NTLM 哈希获取 ### B. 权限提升 - Kerberoasting 攻击 - Golden Ticket 创建 - SID History 注入 - ACL 滥用 ### C. 横向移动 - WMI 和 DCOM 远程命令执行 - PSExec 和 WMIExec - SMB 和 WinRM 利用 - 计划任务和服务创建 ## 3. 检测和响应 ### A. 入侵指标 - 异常的 ViewState 处理活动 - 异常的进程执行模式 - 大量的 AD 枚举查询 - 异常的网络连接和数据传输 ### B. 日志监控 - Web 服务器访问日志 - Windows 事件日志(事件 ID 4624、4625、4672、4648 等) - PowerShell 脚本块日志 - 网络流量日志 ### C. 应急响应 1. 隔离受影响的系统 2. 收集和保存证据 3. 分析攻击范围和影响 4. 重置泄露的凭证 5. 修补漏洞并加强安全措施 6. 监控持续的异常活动 *** ## 参考资料 1. [China-linked hackers exploited Sitecore zero-day for initial access](https://www.bleepingcomputer.com/news/security/china-linked-hackers-exploited-sitecore-zero-day-for-initial-access/) 2. [Cisco Talos Intelligence Blog](https://blog.talosintelligence.com/) 3. [Mandiant CVE-2025-53690 Analysis](https://www.mandiant.com/resources/blog) 最后修改:2026 年 01 月 17 日 © 允许规范转载 赞 如果觉得我的文章对你有用,请随意赞赏