Ένας εξελιγμένος παράγοντας απειλών που χρησιμοποιεί κακόβουλο λογισμικό που βασίζεται σε Linux για να στοχεύσει παρόχους τηλεπικοινωνιών, διεύρυνε πρόσφατα τις δραστηριότητές του για να συμπεριλάβει οργανισμούς στη Νοτιοανατολική Ευρώπη.
Παρακολούθηση εσωτερικά από τη Cisco Talos ως UAT-7290, ο ηθοποιός εμφανίζει ισχυρούς δείκτες δεσμών της Κίνας και συνήθως εστιάζει στις τηλεπικοινωνίες στη Νότια Ασία σε επιχειρήσεις κυβερνοκατασκοπείας.
Ενεργός τουλάχιστον από το 2022, η ομάδα UAT-7290 χρησιμεύει επίσης ως ομάδα αρχικής πρόσβασης με τη δημιουργία μιας υποδομής Operational Relay Box (ORB) κατά τη διάρκεια των επιθέσεων, η οποία στη συνέχεια χρησιμοποιείται από άλλους παράγοντες απειλών ευθυγραμμισμένους με την Κίνα.
Σύμφωνα με τους ερευνητές, οι χάκερ πραγματοποιούν εκτεταμένη αναγνώριση πριν από μια παραβίαση και αναπτύσσουν έναν συνδυασμό προσαρμοσμένου και ανοιχτού κώδικα κακόβουλου λογισμικού και δημόσια εκμεταλλεύσεις για γνωστά ελαττώματα σε συσκευές αιχμής δικτύου.
«Το UAT-7290 αξιοποιεί μονοήμερες εκμεταλλεύσεις και ωμή δύναμη SSH για συγκεκριμένους στόχους για να διακυβεύσει συσκευές άκρων που αντιμετωπίζουν το κοινό για να αποκτήσει αρχική πρόσβαση και να κλιμακώσει τα προνόμια σε παραβιασμένα συστήματα», λέει η Cisco Talos σε μια έκθεση σήμερα.
Οπλοστάσιο UAT-7290
Το UAT-7290 χρησιμοποιεί κυρίως μια σουίτα κακόβουλου λογισμικού που βασίζεται σε Linux, με περιστασιακές αναπτύξεις εμφυτευμάτων Windows όπως το RedLeaves και το ShadowPad, τα οποία είναι ευρέως κοινά μεταξύ πολλών φορέων China-nexus.
Η Cisco επισημαίνει τις ακόλουθες οικογένειες κακόβουλου λογισμικού Linux, συνδέοντάς τις με το UAT-7290:
- RushDrop (ChronosRAT) – Αρχικό σταγονόμετρο που ξεκινά την αλυσίδα μόλυνσης. Εκτελεί βασικούς ελέγχους anti-VM, δημιουργεί ή επαληθεύει έναν κρυφό κατάλογο .pkgdb και αποκωδικοποιεί τρία δυαδικά αρχεία που είναι ενσωματωμένα μέσα: daytime (εκτελεστής DriveSwitch), chargen (το εμφύτευμα SilentRaid) και busybox, ένα νόμιμο βοηθητικό πρόγραμμα Linux που καταχράται για την εκτέλεση εντολών.
- DriveSwitch – Περιφερικό στοιχείο που απορρίφθηκε από το RushDrop με την κύρια λειτουργία για την εκτέλεση του εμφυτεύματος SilentRaid στο παραβιασμένο σύστημα.
- SilentRaid (MystRodX) – Το κύριο επίμονο εμφύτευμα, γραμμένο σε C++ και χτισμένο γύρω από ένα σχέδιο που βασίζεται σε πρόσθετα. Πραγματοποιεί βασικούς ελέγχους κατά της ανάλυσης, επιλύει τον τομέα C2 χρησιμοποιώντας το δημόσιο πρόγραμμα επίλυσης DNS της Google. υποστηρίζει απομακρυσμένη πρόσβαση φλοιού, προώθηση θυρών, λειτουργίες αρχείων, αρχειοθέτηση καταλόγου με tar, πρόσβαση στο /etc/passwd και συλλογή χαρακτηριστικών πιστοποιητικού X.509.
- Bulbature – Ένα εμφύτευμα συσκευασμένο με UPX που βασίζεται σε Linux, το οποίο τεκμηριώθηκε προηγουμένως από τη Sekoia, το οποίο χρησιμοποιήθηκε για τη μετατροπή των παραβιασμένων συσκευών σε λειτουργικά κουτιά αναμετάδοσης (ORB). Ακούει σε παραμετροποιήσιμες θύρες, ανοίγει αντίστροφα κελύφη και αποθηκεύει τη διαμόρφωση C2 στο /tmp/*.cfg, υποστηρίζει την περιστροφή C2 και χρησιμοποιεί ένα πιστοποιητικό TLS που υπογράφεται από τον εαυτό του.
Το πιστοποιητικό Bulbature TLS, το οποίο είναι το ίδιο με αυτό που τεκμηριώθηκε προηγουμένως η Sekoia, βρίσκεται σε 141 κεντρικούς υπολογιστές που εδρεύουν στην Κίνα και το Χονγκ Κονγκ, των οποίων οι IP έχουν συσχετιστεί με άλλες οικογένειες κακόβουλου λογισμικού όπως τα SuperShell, GobRAT και Cobalt Strike beacons.
Η αναφορά της Cisco Talos παρέχει τεχνικές λεπτομέρειες σχετικά με το κακόβουλο λογισμικό που χρησιμοποιείται από το UAT-7290, μαζί με μια λίστα δεικτών συμβιβασμού για να βοηθήσει τους οργανισμούς να αμυνθούν έναντι αυτού του παράγοντα απειλής.
Καθώς το MCP (Model Context Protocol) γίνεται το πρότυπο για τη σύνδεση LLM με εργαλεία και δεδομένα, οι ομάδες ασφαλείας προχωρούν γρήγορα για να διατηρήσουν αυτές τις νέες υπηρεσίες ασφαλείς.
Αυτό το δωρεάν φύλλο εξαπάτησης περιγράφει 7 βέλτιστες πρακτικές που μπορείτε να αρχίσετε να χρησιμοποιείτε σήμερα.
VIA: bleepingcomputer.com
