UAT-8837 组织利用 Sitecore 零日漏洞攻击技术分析
一、新闻概述
1. 标题
中国关联黑客组织 UAT-8837 利用 Sitecore 零日漏洞获取初始访问权限
2. 发布时间
2026 年 1 月 16 日
3. 来源
BleepingComputer,基于 Cisco Talos 安全研究报告
二、核心内容
1. 事件摘要
A. 主要内容
一个追踪代号为 UAT-8837 的中国关联高级威胁组织,正专注于攻击北美地区的关键基础设施系统,通过利用已知漏洞和零日漏洞获取初始访问权限。
B. 核心亮点
- 利用 Sitecore ViewState 反序列化零日漏洞(CVE-2025-53690)
- 针对北美关键基础设施的初始访问攻击
- 使用大量开源工具和 LOTL(Living Off The Land)技术
- 目标是获取凭证和 Active Directory 拓扑信息
2. 关键信息
A. 漏洞编号
CVE-2025-53690(Sitecore ViewState 反序列化零日漏洞)
B. 重要数据
- 活跃时间:至少从 2025 年开始
- 目标区域:北美关键基础设施
- 攻击目的:获取初始访问权限
C. 涉及产品
- Sitecore 产品
- Windows 系统
- Active Directory
3. 背景介绍
A. 相关组织
Cisco Talos 研究人员在之前的报告中还提到了另一个中国关联组织 UAT-7290,该组织自 2022 年以来活跃,同样负责获取访问权限,但还涉及间谍活动。
B. 相关上下文
Mandiant 研究人员在 2025 年 9 月初报告称 CVE-2025-53690 为正在被积极利用的零日漏洞,在攻击中观察到了名为 WeepSteel 的侦察后门部署。
三、详细报道
1. 主要内容
A. 攻击流程
UAT-8837 的攻击通常从以下两种方式开始:
- 利用泄露的凭证
- 利用服务器漏洞
在最近的事件中,威胁者利用了 CVE-2025-53690,这是 Sitecore 产品中的一个 ViewState 反序列化零日漏洞。
B. 攻击技术
- ViewState 反序列化攻击
- 凭证窃取和滥用
- Active Directory 枚举和侦察
- 远程命令执行(WMI、DCOM)
C. 后渗透活动
- 使用 Windows 原生命令进行主机和网络侦察
- 禁用 RDP RestrictedAdmin 以便利凭证收集
- 人工键盘操作执行各种命令收集敏感数据
2. 技术细节
A. 攻击链路
graph LR
A[初始访问] --> B{攻击向量}
B -->|泄露凭证| C[凭证登录]
B -->|漏洞利用| D[零日漏洞]
D --> E[CVE-2025-53690]
E --> F[ViewState 反序列化]
F --> G[部署 WeepSteel 后门]
C --> H[网络侦察]
G --> H
H --> I[凭证窃取]
I --> J[AD 枚举]
J --> K[横向移动]
K --> L[数据窃取]
B. 工具清单
凭证窃取工具:
- GoTokenTheft:窃取访问令牌
- Rubeus:滥用 Kerberos
- Certipy:收集 Active Directory 相关凭证和证书数据
Active Directory 枚举工具:
- SharpHound:枚举用户、组、SPN、服务账户和域关系
- Certipy:证书相关枚举
- setspn:服务主体名称枚举
- dsquery、dsget:目录服务查询
远程执行工具:
- Impacket:通过 WMI 和 DCOM 执行远程命令
- Invoke-WMIExec:WMI 命令执行
- GoExec:Go 编写的执行工具
- SharpWMI:Sharp 编写的 WMI 工具
- 攻击者在检测阻止执行时会循环使用这些工具
隧道和持久化工具:
- Earthworm:创建反向 SOCKS 隧道,将内部系统暴露给攻击者控制的基础设施
- DWAgent:用于维持访问权限和部署额外负载的远程管理工具
C. 攻击目标
根据执行的命令分析,攻击者的主要目标包括:
- 凭证收集
- Active Directory 拓扑和信任关系
- 安全策略和配置信息
- 密码和设置信息
D. 供应链攻击风险
至少在一次入侵中,黑客窃取了受害者使用的产品 DLL 文件,这可能用于未来的木马化植入和供应链攻击。
3. 数据与事实
A. 组织归属
Cisco Talos 对 UAT-8837 与中国运营的关联有中等信心,评估基于与其他已知中国关联威胁组织的战术、技术和程序(TTP)重叠。
B. 检测绕过
UAT-8837 主要使用开源系统和 LOTL 实用程序,不断循环变体以逃避检测。
四、影响分析
1. 行业影响
A. 安全趋势
- 零日漏洞利用持续威胁关键基础设施
- ViewState 反序列化成为 Web 应用攻击的重要向量
- LOTL 技术的使用增加了检测难度
B. 攻击趋势
- 针对初始访问的攻击组织专业化分工
- 凭证窃取和 AD 枚举成为攻击的标准流程
- 供应链攻击风险上升
2. 用户影响
A. Sitecore 用户
- 需要立即检查是否存在 CVE-2025-53690 漏洞
- 监控异常的 ViewState 处理活动
- 加强 Active Directory 安全监控
B. 关键基础设施
- 北美地区的能源、交通、通信等行业是主要目标
- 需要加强凭证管理和访问控制
- 建立完善的入侵检测和响应机制
C. 防御建议
- 及时修补已知漏洞
- 监控异常的网络活动和命令执行
- 实施 Active Directory 安全最佳实践
- 使用多因素认证加强凭证保护
3. 技术趋势
A. 攻击技术方向
- 持续利用零日漏洞获取初始访问
- 更多使用开源工具和 LOLBins 降低攻击成本
- 人工键盘操作和自动化工具结合使用
B. 防御技术方向
- 需要更好的行为分析和异常检测
- 加强 Web 应用输入验证和反序列化安全
- 实施 Zero Trust 架构减少横向移动风险
五、各方反应
1. 官方回应
Cisco Talos 发布了详细的安全研究报告,提供了攻击中使用的命令和工具示例,以及 UAT-8837 活动的入侵指标(IOC)列表。
2. 业内评价
A. Mandiant 报告
Mandiant 研究人员在 2025 年 9 月初首次报告了 CVE-2025-53690 的主动利用情况,观察到 WeepSteel 侦察后门的部署。
B. Cisco Talos 分析
Cisco Talos 强调了该组织的专业化和工具链的多样化,指出其持续改进检测绕过技术。
3. 用户反馈
A. 安全关注
- Sitecore 用户需要紧急评估漏洞风险
- 关键基础设施运营商应加强安全监控
B. 防御挑战
- LOTL 技术的检测难度较高
- 需要综合使用多种安全工具和策略
六、相关链接
1. 官方公告
- Cisco Talos 安全研究报告
- Mandiant CVE-2025-53690 报告
- Sitecore 安全公告
2. 相关报道
- BleepingComputer 原始报道
- Cisco AsyncOS 零日漏洞修补报告
- VMware ESXi 零日漏洞分析
3. 技术文档
- ViewState 反序列化漏洞原理
- Active Directory 安全最佳实践
- LOTL 攻击检测指南
七、技术深度解析
1. ViewState 反序列化漏洞
A. 漏洞原理
ViewState 是 ASP.NET Web 表单中用于保持页面状态的技术。当应用程序使用不安全的反序列化配置时,攻击者可以构造恶意的 ViewState 数据,在服务器端反序列化过程中执行任意代码。
B. 攻击流程
- 攻击者分析目标 Sitecore 应用程序
- 识别 ViewState 处理端点
- 生成恶意序列化 payload
- 发送包含恶意 ViewState 的请求
- 服务器反序列化 payload 并执行恶意代码
- 部署后门并建立持久化访问
C. 防御措施
- 启用 ViewState MAC(消息认证代码)
- 使用强密钥加密 ViewState
- 禁用不必要的 ViewState 功能
- 实施输入验证和输出编码
- 定期更新 .NET 框架和 Sitecore 版本
2. Active Directory 攻击技术
A. 凭证窃取
攻击者使用多种工具窃取凭证:
- LSASS 内存转储分析
- Kerberos 票据窃取和重放
- 证书私钥提取
- NTLM 哈希获取
B. 权限提升
- Kerberoasting 攻击
- Golden Ticket 创建
- SID History 注入
- ACL 滥用
C. 横向移动
- WMI 和 DCOM 远程命令执行
- PSExec 和 WMIExec
- SMB 和 WinRM 利用
- 计划任务和服务创建
3. 检测和响应
A. 入侵指标
- 异常的 ViewState 处理活动
- 异常的进程执行模式
- 大量的 AD 枚举查询
- 异常的网络连接和数据传输
B. 日志监控
- Web 服务器访问日志
- Windows 事件日志(事件 ID 4624、4625、4672、4648 等)
- PowerShell 脚本块日志
- 网络流量日志
C. 应急响应
- 隔离受影响的系统
- 收集和保存证据
- 分析攻击范围和影响
- 重置泄露的凭证
- 修补漏洞并加强安全措施
- 监控持续的异常活动