SOC Prime Bias: Crítico

12 Jan 2026 18:32
newspaper icon Blog da Cisco Talos

UAT-7290 visa alvos de alta importância em infraestrutura de telecomunicações na Ásia do Sul

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
UAT-7290 visa alvos de alta importância em infraestrutura de telecomunicações na Ásia do Sul
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumo

UAT-7290 é um grupo de ameaça persistente avançada com ligação à China, avaliado como ativo desde pelo menos 2022. Ele prioriza o acesso inicial a dispositivos de rede de borda e realiza intrusões focadas em espionagem contra provedores de telecomunicações no Sul da Ásia, com atividades mais recentes se estendendo ao Sudeste da Europa. O conjunto de ferramentas do grupo abrange implantes Linux—RushDrop, DriveSwitch, SilentRaid e Bulbature—e cargas úteis do Windows, como RedLeaves e ShadowPad. UAT-7290 também mantém infraestrutura Operational Relay Box (ORB) que pode ser reaproveitada para encaminhar tráfego de outros atores de ameaça.

Investigação

A Cisco Talos analisou amostras relevantes e documentou uma cadeia de infecção em Linux em etapas que começa com o dropper RushDrop criando um diretório oculto .pkgdb. As etapas subsequentes implementam DriveSwitch e depois o principal implante SilentRaid. Esses componentes usam resolução DNS através de resolvedores públicos para alcançar comando e controle e suportar capacidades como execução de comandos, gerenciamento de arquivos e estabelecimento de shell reverso. Bulbature funciona como um nó ORB, ouvindo em portas configuráveis e usando um certificado autoassinado recorrente que a Talos observou em inúmeros sistemas hospedados na China.

Mitigação

Endureça dispositivos de rede de borda eliminando credenciais padrão, restringindo exposição de gerenciamento e corrigindo rapidamente vulnerabilidades conhecidas de um dia. Monitore comportamentos DNS anômalos—especialmente consultas inesperadas roteadas para resolvedores públicos—junto com uso incomum de comandos BusyBox e o aparecimento de binários desconhecidos em diretórios ocultos. Quando aplicável, implante proteções de endpoint e rede capazes de detectar as assinaturas do ClamAV mencionadas e Snort SID 65124, e garanta que alertas estejam conectados aos fluxos de trabalho do SOC.

Resposta

Se for identificada atividade suspeita, isole o dispositivo afetado, capture imagens de memória volátil e disco, e bloqueie imediatamente quaisquer domínios ou endereços IP C2 confirmados. Realize forense direcionado no diretório .pkgdb, artefatos de configuração /tmp, e qualquer evidência de shells reversos gerados. Redefina credenciais comprometidas, rode chaves SSH e valide que nenhum nó ORB permaneça operacional no ambiente.

“graph TB %% Definições de classes classDef action fill:#99ccff classDef tool fill:#ffe699 classDef malware fill:#ffcccc classDef operator fill:#ff9900 %% Fase de Reconhecimento phase_recon[“<b>Fase</b> – Reconhecimento”] class phase_recon action tech_active_scanning[“<b>Técnica</b> – T1595 Escaneamento Ativo<br><b>Descrição</b>: Identificar serviços, versões e configurações da infraestrutura alvo.”] class tech_active_scanning action tech_search_closed_sources[“<b>Técnica</b> – T1597.001 Procurar Fontes Fechadas<br><b>Descrição</b>: Coletar inteligência de relatórios de fornecedores e outras fontes não públicas.”] class tech_search_closed_sources action %% Fase de Acesso Inicial phase_initial[“<b>Fase</b> – Acesso Inicial”] class phase_initial action tech_exploit_public_facing[“<b>Técnica</b> – T1190 Explorar Aplicações Expostas à Internet<br><b>Descrição</b>: Usar vulnerabilidades em dispositivos expostos à internet para obter acesso.”] class tech_exploit_public_facing action tech_ssh_remote[“<b>Técnica</b> – T1021.004 Serviços Remotos (SSH)<br><b>Descrição</b>: Acessar dispositivos alvo via SSH.”] class tech_ssh_remote action tech_ssh_hijack[“<b>Técnica</b> – T1563.001 Sequestro de Sessão de Serviço Remoto<br><b>Descrição</b>: Sequestrar sessões SSH existentes para contornar autenticação.”] class tech_ssh_hijack action tool_bruteforce[“<b>Ferramenta</b> – Nome: Script de Força Bruta SSH<br/><b>Descrição</b>: Tenta adivinhar credenciais em serviços SSH.”] class tool_bruteforce tool %% Fase de Execução & Evasão de Defesa phase_exec[“<b>Fase</b> – Execução & Evasão de Defesa”] class phase_exec action tech_vm_evasion[“<b>Técnica</b> – T1497 Evasão de Virtualização/Sandbox<br><b>Descrição</b>: Detecta ambientes de análise e modifica comportamento.”] class tech_vm_evasion action tech_unix_shell[“<b>Técnica</b> – T1059.004 Interprete de Comando e Script: Shell Unix<br><b>Descrição</b>: Executa comandos via /bin/sh ou busybox.”] class tech_unix_shell action tech_obfuscation[“<b>Técnica</b> – T1027 Arquivos ou Informações Ofuscadas<br><b>Descrição</b>: Usa empacotamento ou codificação para esconder código malicioso.”] class tech_obfuscation action tech_data_obfuscation[“<b>Técnica</b> – T1001 Ofuscação de Dados<br><b>Descrição</b>: Altera dados para evitar detecção.”] class tech_data_obfuscation action tech_masquerade[“<b>Técnica</b> – T1036.008 Mascaramento: Mascarar Tipo de Arquivo<br><b>Descrição</b>: Renomeia binários para parecerem arquivos legítimos.”] class tech_masquerade action malware_rushdrop[“<b>Malware</b> – Nome: RushDrop<br/><b>Descrição</b>: Carga entregue após exploração, comprimida com UPX.”] class malware_rushdrop malware malware_driveswitch[“<b>Malware</b> – Nome: DriveSwitch<br/><b>Descrição</b>: Usa busybox para execução de comandos.”] class malware_driveswitch malware %% Fase de Escalação de Privilégios phase_priv_esc[“<b>Fase</b> – Escalação de Privilégios”] class phase_priv_esc action tech_exploit_priv[“<b>Técnica</b> – T1068 Exploração para Escalação de Privilégios<br><b>Descrição</b>: Aproveita componentes vulneráveis para obter direitos elevados.”] class tech_exploit_priv action tech_abuse_elevation[“<b>Técnica</b> – T1548 Abuso de Mecanismo de Controle de Elevação<br><b>Descrição</b>: Manipula mecanismos que concedem privilégios elevados.”] class tech_abuse_elevation action %% Fase de Acesso a Credenciais & Descoberta phase_cred_disc[“<b>Fase</b> – Acesso a Credenciais & Descoberta”] class phase_cred_disc action tech_credential_dump[“<b>Técnica</b> – T1003.008 Dump de Credenciais do SO<br><b>Descrição</b>: Lê /etc/passwd e /etc/shadow para senhas.”] class tech_credential_dump action tech_system_info[“<b>Técnica</b> – T1082 Descoberta de Informações do Sistema<br><b>Descrição</b>: Coleta nome de host, versão do SO e detalhes do hardware.”] class tech_system_info action tech_software_collect[“<b>Técnica</b> – T1592.002 Coleta de Informações do Host da Vítima: Software<br><b>Descrição</b>: Enumera pacotes de software instalados.”] class tech_software_collect action tech_hardware_collect[“<b>Técnica</b> – T1592.001 Coleta de Informações do Host da Vítima: Hardware<br><b>Descrição</b>: Recupera dados de CPU, memória e dispositivos.”] class tech_hardware_collect action %% Fase de Movimento Lateral phase_lateral[“<b>Fase</b> – Movimento Lateral”] class phase_lateral action tech_internal_proxy[“<b>Técnica</b> – T1090.001 Proxy: Proxy Interno<br><b>Descrição</b>: Redireciona tráfego através de hosts internos comprometidos.”] class tech_internal_proxy action tech_external_proxy[“<b>Técnica</b> – T1090.002 Proxy: Proxy Externo<br><b>Descrição</b>: Usa serviços de proxy externos para esconder a origem.”] class tech_external_proxy action tech_protocol_tunnel[“<b>Técnica</b> – T1572 Tunelamento de Protocolo<br><b>Descrição</b>: Encapsula tráfego dentro de protocolos permitidos.”] class tech_protocol_tunnel action tech_nonstandard_port[“<b>Técnica</b> – T1571 Porto Não Padrão<br><b>Descrição</b>: Comunica-se através de portas incomuns para evitar detecção.”] class tech_nonstandard_port action %% Fase de Comando & Controle phase_c2[“<b>Fase</b> – Comando & Controle”] class phase_c2 action tech_dead_drop[“<b>Técnica</b> – T1102.001 Serviço Web: Resolver Dead Drop<br><b>Descrição</b>: Resolve domínios C2 via consultas DNS públicas.”] class tech_dead_drop action tech_one_way[“<b>Técnica</b> – T1102.003 Serviço Web: Comunicação de Uma Via<br><b>Descrição</b>: Envia dados para C2 via DNS sem receber respostas.”] class tech_one_way action tech_data_encoding[“<b>Técnica</b> – T1132 Codificação de Dados<br><b>Descrição</b>: Codifica resultados de comandos antes de transmiti-los.”] class tech_data_encoding action %% Conexões phase_recon u002du002d>|usa| tech_active_scanning phase_recon u002du002d>|usa| tech_search_closed_sources phase_initial u002du002d>|explora| tech_exploit_public_facing phase_initial u002du002d>|explora| tech_ssh_remote phase_initial u002du002d>|explora| tech_ssh_hijack phase_initial u002du002d>|usa| tool_bruteforce phase_exec u002du002d>|emprega| tech_vm_evasion phase_exec u002du002d>|executa| tech_unix_shell phase_exec u002du002d>|aplica| tech_obfuscation phase_exec u002du002d>|aplica| tech_data_obfuscation phase_exec u002du002d>|aplica| tech_masquerade phase_exec u002du002d>|entrega| malware_rushdrop phase_exec u002du002d>|entrega| malware_driveswitch phase_priv_esc u002du002d>|usa| tech_exploit_priv phase_priv_esc u002du002d>|usa| tech_abuse_elevation phase_cred_disc u002du002d>|realiza| tech_credential_dump phase_cred_disc u002du002d>|realiza| tech_system_info phase_cred_disc u002du002d>|realiza| tech_software_collect phase_cred_disc u002du002d>|realiza| tech_hardware_collect phase_lateral u002du002d>|estabelece| tech_internal_proxy phase_lateral u002du002d>|estabelece| tech_external_proxy phase_lateral u002du002d>|utiliza| tech_protocol_tunnel phase_lateral u002du002d>|utiliza| tech_nonstandard_port phase_c2 u002du002d>|resolve| tech_dead_drop phase_c2 u002du002d>|transmite| tech_one_way phase_c2 u002du002d>|codifica| tech_data_encoding “

Fluxo de Ataque

Execução de Simulação

Pré-requisito: A Verificação Pré-lançamento de Telemetria & Linha de Base deve ter sido aprovada.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar exatamente a telemetria esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.

  • Narrativa e Comandos de Ataque:

    1. Execução Inicial do Dropper (T1480.002):
      O atacante executa o RushDrop binário, que, como parte de sua carga útil, cria um diretório oculto chamado .pkgdb no diretório de trabalho atual.

      ./RushDrop --install .pkgdb

    2. Lançamento de Componente Privilegiado (T1569):
      O dropper então inicia SilentRaid com um argumento plugins para carregar módulos maliciosos que estabelecem persistência via serviços do sistema.

      sudo ./SilentRaid --load plugins

    3. Descoberta de Rede (T1016.001):
      Finalmente, o malware coleta informações de roteamento para mapear a rede interna:

      cat /proc/net/route

    Quando esses três fragmentos de linha de comando aparecem juntos (ou os dois primeiros juntos and o terceiro como alternativa), a condição da regra Sigma avalia como verdadeira, gerando um alerta.

  • Script de Teste de Regressão:

    #!/usr/bin/env bash
#
# Script de validação de detecção UAT‑7290
# Simula os padrões de linha de comando exatos requeridos pela regra Sigma.
#
set -euo pipefail

# 1. Criar um diretório de trabalho temporário
WORKDIR=$(mktemp -d)
cd "$WORKDIR"

# 2. Simular binário RushDrop
echo -e '#!/usr/bin/env bashnecho "RushDrop executado"' > RushDrop
chmod +x RushDrop

# 3. Executar RushDrop com o argumento .pkgdb (cria a pasta)
./RushDrop --install .pkgdb
mkdir -p .pkgdb   # imitar comportamento do dropper

# 4. Simular binário SilentRaid
echo -e '#!/usr/bin/env bashnecho "SilentRaid carregou plugins"' > SilentRaid
chmod +x SilentRaid

# 5. Executar SilentRaid com argumento plugins (requer sudo para realismo)
sudo ./SilentRaid --load plugins

# 6. Comando de descoberta de rede
cat /proc/net/route

# 7. Limpar (opcional – manter para inspeção manual, se necessário)
# rm -rf "$WORKDIR"

  • Comandos de Limpeza:

    # Remover o diretório temporário e quaisquer artefatos criados durante o teste
sudo rm -rf "$WORKDIR"
# Limpar a fila do auditd para garantir que não restem eventos residuais
sudo auditctl -D
# Reiniciar o auditd para restaurar as regras padrão
sudo systemctl restart auditd

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Cadastre-se Gratuitamente