SOC Prime Bias: Critique

12 Jan 2026 18:32
newspaper icon Blog Cisco Talos

UAT-7290 cible l’infrastructure de télécommunications de haute valeur en Asie du Sud

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Suivre
UAT-7290 cible l’infrastructure de télécommunications de haute valeur en Asie du Sud
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Résumé

UAT-7290 est un groupe de menaces persistantes avancées lié à la Chine, actif depuis au moins 2022. Il priorise l’accès initial aux dispositifs de mise en réseau périphérique et effectue des intrusions axées sur l’espionnage contre les fournisseurs de télécommunications en Asie du Sud, avec une activité plus récente s’étendant en Europe du Sud-Est. L’ensemble d’outils du groupe comprend des implants Linux—RushDrop, DriveSwitch, SilentRaid et Bulbature—et des charges utiles Windows telles que RedLeaves et ShadowPad. UAT-7290 maintient également une infrastructure d’Operational Relay Box (ORB) qui peut être réutilisée pour relayer le trafic d’autres acteurs malveillants.

Enquête

Cisco Talos a analysé des échantillons pertinents et documenté une chaîne d’infection Linux étagée qui commence par le chargeur RushDrop créant un répertoire caché .pkgdb. Les étapes suivantes déploient DriveSwitch et ensuite l’implant principal SilentRaid. Ces composants utilisent la résolution DNS via des résolveurs publics pour atteindre le commandement et le contrôle et prendre en charge des capacités telles que l’exécution de commandes, la gestion de fichiers et l’établissement de shells inversés. Bulbature fonctionne comme un nœud ORB, écoutant sur des ports configurables et utilisant un certificat auto-signé récurrent que Talos a noté à travers de nombreux systèmes hébergés en Chine.

Atténuation

Renforcez les dispositifs de mise en réseau périphérique en éliminant les identifiants par défaut, en restreignant l’exposition à la gestion et en appliquant rapidement les correctifs pour les vulnérabilités connues d’un jour. Surveillez les comportements DNS anormaux, notamment les requêtes inattendues dirigées vers des résolveurs publics, ainsi que l’utilisation inhabituelle des commandes BusyBox et l’apparition de binaires inconnus dans les répertoires cachés. Le cas échéant, déployez des protections au niveau des terminaux et du réseau capables de détecter les signatures ClamAV référencées et Snort SID 65124, et assurez-vous que les alertes sont connectées aux flux de travail du SOC.

Réponse

Si une activité suspecte est identifiée, isolez l’appareil affecté, capturez la mémoire volatile et les images de disque, et bloquez immédiatement tous les domaines C2 ou adresses IP confirmés. Effectuez des analyses forensiques ciblées sur le répertoire .pkgdb, les artefacts de configuration /tmp, et toute preuve de shells inversés déclenchés. Réinitialisez les identifiants compromis, faites tourner les clés SSH, et validez qu’aucun nœud ORB ne reste opérationnel à l’intérieur de l’environnement.

« graph TB %% Définitions des classes classDef action fill:#99ccff classDef tool fill:#ffe699 classDef malware fill:#ffcccc classDef operator fill:#ff9900 %% Phase de reconnaissance phase_recon[« <b>Phase</b> – Reconnaissance »] class phase_recon action tech_active_scanning[« <b>Technique</b> – T1595 Scan Actif<br><b>Description</b>: Identifier les services, versions et configurations de l’infrastructure cible. »] class tech_active_scanning action tech_search_closed_sources[« <b>Technique</b> – T1597.001 Recherche de Sources Fermées<br><b>Description</b>: Rassembler des informations à partir de rapports de fournisseurs et d’autres sources non publiques. »] class tech_search_closed_sources action %% Phase d’accès initial phase_initial[« <b>Phase</b> – Accès Initial »] class phase_initial action tech_exploit_public_facing[« <b>Technique</b> – T1190 Exploitation d’une Application Publique<br><b>Description</b>: Utiliser les vulnérabilités des appareils exposés à Internet pour obtenir un point d’ancrage. »] class tech_exploit_public_facing action tech_ssh_remote[« <b>Technique</b> – T1021.004 Services à Distance (SSH)<br><b>Description</b>: Accéder aux appareils cibles via SSH. »] class tech_ssh_remote action tech_ssh_hijack[« <b>Technique</b> – T1563.001 Détournement de Session de Service à Distance<br><b>Description</b>: Détourner des sessions SSH existantes pour contourner l’authentification. »] class tech_ssh_hijack action tool_bruteforce[« <b>Outil</b> – Nom : Script de Bruteforce SSH<br/><b>Description</b>: Tente de deviner les identifiants sur les services SSH. »] class tool_bruteforce tool %% Phase d’Execution et d’Esquive de Défense phase_exec[« <b>Phase</b> – Exécution et Esquive de Défense »] class phase_exec action tech_vm_evasion[« <b>Technique</b> – T1497 Evasion de Virtualization/Sandbox<br><b>Description</b>: Détecte les environnements d’analyse et modifie le comportement. »] class tech_vm_evasion action tech_unix_shell[« <b>Technique</b> – T1059.004 Interpréteur de Commandes et Scripts : Shell Unix<br><b>Description</b>: Exécute des commandes via /bin/sh ou busybox. »] class tech_unix_shell action tech_obfuscation[« <b>Technique</b> – T1027 Fichiers ou Informations Obfusqués<br><b>Description</b>: Utilise le packaging ou le codage pour masquer le code malveillant. »] class tech_obfuscation action tech_data_obfuscation[« <b>Technique</b> – T1001 Obfuscation des Données<br><b>Description</b>: Modifie les données pour éviter la détection. »] class tech_data_obfuscation action tech_masquerade[« <b>Technique</b> – T1036.008 Camouflage : Type de Fichier Camouflé<br><b>Description</b>: Renomme des binaires pour apparaître comme des fichiers légitimes. »] class tech_masquerade action malware_rushdrop[« <b>Malware</b> – Nom : RushDrop<br/><b>Description</b>: Charge utile livrée après l’exploitation, compressée avec UPX. »] class malware_rushdrop malware malware_driveswitch[« <b>Malware</b> – Nom : DriveSwitch<br/><b>Description</b>: Utilise busybox pour exécuter des commandes. »] class malware_driveswitch malware %% Phase d’Élévation de Privilèges phase_priv_esc[« <b>Phase</b> – Élévation de Privilèges »] class phase_priv_esc action tech_exploit_priv[« <b>Technique</b> – T1068 Exploitation pour Élévation de Privilèges<br><b>Description</b>: Exploite des composants vulnérables pour obtenir des droits supérieurs. »] class tech_exploit_priv action tech_abuse_elevation[« <b>Technique</b> – T1548 Abus du Mécanisme de Contrôle de l’Élévation<br><b>Description</b>: Manipule des mécanismes qui accordent des privilèges élevés. »] class tech_abuse_elevation action %% Phase d’Accès aux Informations d’Identification & Découverte phase_cred_disc[« <b>Phase</b> – Accès aux Informations d’Identification & Découverte »] class phase_cred_disc action tech_credential_dump[« <b>Technique</b> – T1003.008 Vidage des Informations d’Identification de l’OS<br><b>Description</b>: Lit /etc/passwd et /etc/shadow pour les mots de passe. »] class tech_credential_dump action tech_system_info[« <b>Technique</b> – T1082 Découverte d’Informations Systèmes<br><b>Description</b>: Collecte le nom d’hôte, la version de l’OS et les détails matériels. »] class tech_system_info action tech_software_collect[« <b>Technique</b> – T1592.002 Collecte des Informations du Système de la Victime : Logiciel<br><b>Description</b>: Énumère les paquets de logiciels installés. »] class tech_software_collect action tech_hardware_collect[« <b>Technique</b> – T1592.001 Collecte des Informations du Système de la Victime : Matériel<br><b>Description</b>: Récupère les données du CPU, de la mémoire et des appareils. »] class tech_hardware_collect action %% Phase de Mouvement Latéral phase_lateral[« <b>Phase</b> – Mouvement Latéral »] class phase_lateral action tech_internal_proxy[« <b>Technique</b> – T1090.001 Proxy : Proxy Interne<br><b>Description</b>: Relaye le trafic via des hôtes internes compromis. »] class tech_internal_proxy action tech_external_proxy[« <b>Technique</b> – T1090.002 Proxy : Proxy Externe<br><b>Description</b>: Utilise des services de proxy externes pour masquer l’origine. »] class tech_external_proxy action tech_protocol_tunnel[« <b>Technique</b> – T1572 Tunnelisation de Protocoles<br><b>Description</b>: Encapsule le trafic au sein des protocoles autorisés. »] class tech_protocol_tunnel action tech_nonstandard_port[« <b>Technique</b> – T1571 Port Non-Standard<br><b>Description</b>: Communique sur des ports peu communs pour échapper à la détection. »] class tech_nonstandard_port action %% Phase de Commandement & Contrôle phase_c2[« <b>Phase</b> – Commandement & Contrôle »] class phase_c2 action tech_dead_drop[« <b>Technique</b> – T1102.001 Service Web : Dead Drop Resolver<br><b>Description</b>: Résout les domaines C2 via des requêtes DNS publiques. »] class tech_dead_drop action tech_one_way[« <b>Technique</b> – T1102.003 Service Web : Communication à Sens Unique<br><b>Description</b>: Envoie des données au C2 via DNS sans recevoir de réponses. »] class tech_one_way action tech_data_encoding[« <b>Technique</b> – T1132 Encodage des Données<br><b>Description</b>: Encode les résultats de commande avant la transmission. »] class tech_data_encoding action %% Connexions phase_recon u002du002d>|utilise| tech_active_scanning phase_recon u002du002d>|utilise| tech_search_closed_sources phase_initial u002du002d>|exploite| tech_exploit_public_facing phase_initial u002du002d>|exploite| tech_ssh_remote phase_initial u002du002d>|exploite| tech_ssh_hijack phase_initial u002du002d>|utilise| tool_bruteforce phase_exec u002du002d>|emploie| tech_vm_evasion phase_exec u002du002d>|exécute| tech_unix_shell phase_exec u002du002d>|applique| tech_obfuscation phase_exec u002du002d>|applique| tech_data_obfuscation phase_exec u002du002d>|applique| tech_masquerade phase_exec u002du002d>|délivre| malware_rushdrop phase_exec u002du002d>|délivre| malware_driveswitch phase_priv_esc u002du002d>|utilise| tech_exploit_priv phase_priv_esc u002du002d>|utilise| tech_abuse_elevation phase_cred_disc u002du002d>|réalise| tech_credential_dump phase_cred_disc u002du002d>|réalise| tech_system_info phase_cred_disc u002du002d>|réalise| tech_software_collect phase_cred_disc u002du002d>|réalise| tech_hardware_collect phase_lateral u002du002d>|établit| tech_internal_proxy phase_lateral u002du002d>|établit| tech_external_proxy phase_lateral u002du002d>|utilise| tech_protocol_tunnel phase_lateral u002du002d>|utilise| tech_nonstandard_port phase_c2 u002du002d>|résout| tech_dead_drop phase_c2 u002du002d>|transmet| tech_one_way phase_c2 u002du002d>|encode| tech_data_encoding « 

Flux d’attaque

Exécution de Simulation

Prérequis : Le Contrôle des Pré‑vol de Télémétrie & de Référence doit avoir réussi.

Rationale : Cette section détaille l’exécution précise de la technique adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Des exemples abstraits ou non liés entraîneront un mauvais diagnostic.

  • Récit & Commandes d’Attaque :

    1. Exécution Initiale du Chargeur (T1480.002) :
      L’attaquant exécute le binaire RushDrop , qui, dans le cadre de sa charge utile, crée un répertoire caché nommé .pkgdb dans le répertoire de travail actuel.

      ./RushDrop --install .pkgdb

    2. Lancement de Composant Privilégié (T1569) :
      Le chargeur lance ensuite SilentRaid avec un argument plugins pour charger des modules malveillants établissant la persistance via les services système.

      sudo ./SilentRaid --load plugins

    3. Découverte Réseau (T1016.001) :
      Enfin, le malware collecte des informations de routage pour cartographier le réseau interne :

      cat /proc/net/route

    Lorsque ces trois fragments de ligne de commande apparaissent ensemble (ou les deux premiers ensemble and le troisième comme alternative), la condition de règle Sigma s’évalue à vrai, générant une alerte.

  • Script de Test de Régression :

    #!/usr/bin/env bash
#
# Script de validation de détection UAT‑7290
# Simule les modèles de ligne de commande précis requis par la règle Sigma.
#
set -euo pipefail

# 1. Crée un répertoire de travail temporaire
WORKDIR=$(mktemp -d)
cd "$WORKDIR"

# 2. Simule le binaire RushDrop
echo -e '#!/usr/bin/env bashnecho "RushDrop exécuté"' > RushDrop
chmod +x RushDrop

# 3. Exécute RushDrop avec l'argument .pkgdb (crée le dossier)
./RushDrop --install .pkgdb
mkdir -p .pkgdb   # imite le comportement du chargeur

# 4. Simule le binaire SilentRaid
echo -e '#!/usr/bin/env bashnecho "SilentRaid a chargé les plugins"' > SilentRaid
chmod +x SilentRaid

# 5. Exécute SilentRaid avec l'argument plugins (nécessite sudo pour le réalisme)
sudo ./SilentRaid --load plugins

# 6. Commande de découverte du réseau
cat /proc/net/route

# 7. Nettoyage (optionnel – à conserver pour inspection manuelle si nécessaire)
# rm -rf "$WORKDIR"

  • Commandes de Nettoyage :

    # Supprimer le répertoire temporaire et tous les artefacts créés pendant le test
sudo rm -rf "$WORKDIR"
# Vider la file d'attente auditd pour s'assurer qu'aucun événement résiduel ne reste
sudo auditctl -D
# Redémarrer auditd pour rétablir les règles par défaut
sudo systemctl restart auditd

Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité sur les menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et à générer une valeur immédiate, planifiez dès maintenant une réunion avec des experts de SOC Prime.

Rejoindre gratuitement