Μια επικίνδυνη ομάδα hacking γνωστή ως UAT-7290 επιτίθεται ενεργά σε σημαντικές εταιρείες τηλεπικοινωνιών και κρίσιμους στόχους υποδομής σε ολόκληρη τη Νότια Ασία τουλάχιστον από το 2022.
Αυτός ο προηγμένος παράγοντας απειλής λειτουργεί με σαφείς ενδείξεις διασυνδέσεων της κινεζικής κυβέρνησης και αποτελεί σοβαρό κίνδυνο για ζωτικά δίκτυα επικοινωνίας στην περιοχή.
Η πρόσφατη επέκταση του ομίλου στη Νοτιοανατολική Ευρώπη δείχνει την αυξανόμενη εμβέλεια και τη φιλοδοξία του.
Αναλυτές και ερευνητές της Cisco Talos αναγνωρισθείς ότι το UAT-7290 χρησιμοποιεί μια υπολογισμένη προσέγγιση για να σπάσει σε στοχευμένα συστήματα. Η ομάδα ξεκινά με προσεκτικό σχεδιασμό και τεχνική αναγνώριση για να κατανοήσει τους στόχους της πριν εξαπολύσει επιθέσεις.
.webp.jpeg "UAT-7290 Hackers που επιτίθενται σε οντότητες υποδομής ζωτικής σημασίας στη Νότια Ασία")
Χρησιμοποιούν έναν συνδυασμό διαφορετικών μεθόδων επίθεσης, συμπεριλαμβανομένης της εκμετάλλευσης γνωστών αδυναμιών ασφαλείας και της χρήσης επιθέσεων ωμής βίας σε συστήματα που αντιμετωπίζουν το Διαδίκτυο.
Η ομάδα λειτουργεί επίσης ως πάροχος αρχικής πρόσβασης, που σημαίνει ότι διακυβεύει συστήματα που άλλες ομάδες hacking μπορούν αργότερα να χρησιμοποιήσουν για τις δικές τους λειτουργίες.
Η εργαλειοθήκη του UAT-7290 περιλαμβάνει εξελιγμένο κακόβουλο λογισμικό σχεδιασμένο να λειτουργεί σε συστήματα Linux, τα οποία τροφοδοτούν πολλές συσκευές δικτύωσης αιχμής.
Οι οικογένειες κακόβουλων προγραμμάτων που παρακολουθούνται από τη Cisco Talos περιλαμβάνουν το RushDrop, ένα σταγονόμετρο που ξεκινά τη διαδικασία μόλυνσης. DriveSwitch, το οποίο βοηθά στην εκτέλεση του κύριου κακόβουλου λογισμικού. και το SilentRaid, το κεντρικό πρόγραμμα που διατηρεί συνεχή πρόσβαση.
Αυτά τα εργαλεία δείχνουν την τεχνική πολυπλοκότητα του ομίλου και την εστίασή του στο να αποκτήσουν βαθύ έλεγχο σε παραβιασμένα δίκτυα.
Διαδικασία μόλυνσης
Η διαδικασία μόλυνσης αποκαλύπτει την τεχνική εμπειρία του ομίλου. Όταν το RushDrop εκτελείται σε ένα σύστημα, ελέγχει πρώτα αν λειτουργεί σε πραγματικό υπολογιστή ή σε δοκιμαστικό περιβάλλον για να αποφύγει τον εντοπισμό.
Εάν οι έλεγχοι περάσουν, το RushDrop δημιουργεί έναν κρυφό φάκελο με το όνομα “.pkgdb” και αποσυσκευάζει τρία στοιχεία σε αυτήν τη θέση.
.webp.jpeg "UAT-7290 Hackers που επιτίθενται σε οντότητες υποδομής ζωτικής σημασίας στη Νότια Ασία")
Η διαδικασία περιλαμβάνει την εξαγωγή «chargen», που είναι το εμφύτευμα SilentRaid, μαζί με το «busybox», ένα νόμιμο εργαλείο Linux που μπορεί να εκτελέσει εντολές στο σύστημα.
Αυτή η προσέγγιση βήμα προς βήμα δείχνει πώς οι επιτιθέμενοι κρύβουν τα εργαλεία τους και διατηρούν τον έλεγχο χωρίς να προκαλούν άμεση υποψία.
Το SilentRaid λειτουργεί χρησιμοποιώντας ένα αρθρωτό σύστημα πρόσθετων που δίνει στους εισβολείς πολλαπλές δυνατότητες. Το κακόβουλο λογισμικό μπορεί να ανοίξει απομακρυσμένα κελύφη, να προωθήσει θύρες Διαδικτύου και να διαχειριστεί αρχεία σε μολυσμένα συστήματα.
Όταν ξεκινά το SilentRaid, επικοινωνεί με τον διακομιστή ελέγχου του χρησιμοποιώντας ένα όνομα τομέα και τη δημόσια υπηρεσία DNS της Google (8.8.8.8) για να βρει τη διεύθυνση του διακομιστή.
Αυτή η μέθοδος επικοινωνίας βοηθά το κακόβουλο λογισμικό να κρύψει τις δραστηριότητές του μέσα στην κανονική όψη κυκλοφορίας στο Διαδίκτυο, καθιστώντας τον εντοπισμό πιο δύσκολο για τους υπερασπιστές του δικτύου.
Το σύστημα πρόσθετων επιτρέπει στους εισβολείς να αναμειγνύουν και να ταιριάζουν διαφορετικά εργαλεία κατά τη μεταγλώττιση, δίνοντάς τους ευελιξία να προσαρμόζουν τις επιθέσεις τους για κάθε στόχο.
