UAT-7290 zielt auf hochwertige Telekommunikationsinfrastruktur in Südasien ab
Folgen
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
UAT-7290 ist eine China-verbundene Advanced Persistent Threat Gruppe, die seit mindestens 2022 aktiv ist. Sie priorisiert den initialen Zugriff auf Randnetzwerkgeräte und führt spionagegetriebene Einbrüche gegen Telekommunikationsanbieter in Südasien durch, mit neueren Aktivitäten, die sich auf Südosteuropa ausweiten. Das Toolset der Gruppe umfasst Linux-Implants – RushDrop, DriveSwitch, SilentRaid und Bulbature – sowie Windows-Payloads wie RedLeaves und ShadowPad. UAT-7290 unterhält auch Operational Relay Box (ORB) Infrastrukturen, die umfunktioniert werden können, um den Verkehr für andere Bedrohungsakteure weiterzuleiten.
Untersuchung
Cisco Talos analysierte relevante Proben und dokumentierte eine gestufte Linux-Infektionskette, die mit der Erstellung eines versteckten .pkgdb Verzeichnisses durch den RushDrop-Loader beginnt. In den folgenden Stufen werden DriveSwitch und anschließend das Primärimplantat SilentRaid bereitgestellt. Diese Komponenten nutzen DNS-Auflösung durch öffentliche Resolver, um Kommando- und Kontrollserver zu erreichen und unterstützen Fähigkeiten wie Kommandoausführung, Dateiverwaltung und die Einrichtung von Reverse-Shells. Bulbature fungiert als ORB-Knoten, lauscht auf konfigurierbaren Ports und verwendet ein wiederkehrendes, selbstsigniertes Zertifikat, das Talos auf zahlreichen in China gehosteten Systemen bemerkte.
Minderung
Verstärken Sie Randnetzwerkgeräte, indem Sie Standardanmeldedaten beseitigen, die Verwaltungsexposition einschränken und bekannte One-Day-Schwachstellen schnell reparieren. Überwachen Sie auffälliges DNS-Verhalten – insbesondere unerwartete Anfragen, die an öffentliche Resolver weitergeleitet werden – sowie ungewöhnliche BusyBox-Befehlsnutzung und das Auftreten unbekannter Binärdateien in versteckten Verzeichnissen. Setzen Sie, wo zutreffend, Endpunkt- und Netzwerksicherungen ein, die die genannten ClamAV-Signaturen und Snort SID 65124 erkennen und stellen Sie sicher, dass Warnungen in SOC-Arbeitsabläufe integriert sind.
Reaktion
Falls verdächtige Aktivitäten identifiziert werden, isolieren Sie das betroffene Gerät, erfassen Sie flüchtigen Speicher und Disk-Images und blockieren Sie sofort alle bestätigten C2-Domains oder IP-Adressen. Führen Sie gezielte forensische Untersuchungen des .pkgdb Verzeichnisses, der /tmp-Konfigurationsartefakte und aller Nachweise von gestarten Reverse-Shells durch. Setzen Sie kompromittierte Anmeldedaten zurück, rotieren Sie SSH-Schlüssel und verifizieren Sie, dass keine ORB-Knoten mehr innerhalb der Umgebung aktiv sind.
„graph TB %% Klassendefinitionen classDef action fill:#99ccff classDef tool fill:#ffe699 classDef malware fill:#ffcccc classDef operator fill:#ff9900 %% Aufklärungsphase phase_recon[„<b>Phase</b> – Aufklärung“] class phase_recon action tech_active_scanning[„<b>Technik</b> – T1595 Aktives Scannen<br><b>Beschreibung</b>: Dienste, Versionen und Konfigurationen der Zielinfrastruktur identifizieren.“] class tech_active_scanning action tech_search_closed_sources[„<b>Technik</b> – T1597.001 Geschlossene Quellen durchsuchen<br><b>Beschreibung</b>: Informationen aus Herstellerberichten und anderen nicht-öffentlichen Quellen sammeln.“] class tech_search_closed_sources action %% Phase des ersten Zugriffs phase_initial[„<b>Phase</b> – Erster Zugriff“] class phase_initial action tech_exploit_public_facing[„<b>Technik</b> – T1190 Öffentliche Anwendung ausnutzen<br><b>Beschreibung</b>: Schwachstellen in internet-exponierten Geräten ausnutzen, um sich einen Zugang zu verschaffen.“] class tech_exploit_public_facing action tech_ssh_remote[„<b>Technik</b> – T1021.004 Fernzugriff (SSH)<br><b>Beschreibung</b>: Zugriff auf Zielgeräte über SSH.“] class tech_ssh_remote action tech_ssh_hijack[„<b>Technik</b> – T1563.001 Fernzugriffssitzungen entführen<br><b>Beschreibung</b>: Bestehende SSH-Sitzungen kapern, um die Authentifizierung zu umgehen.“] class tech_ssh_hijack action tool_bruteforce[„<b>Werkzeug</b> – Name: SSH Brute-Force-Skript<br/><b>Beschreibung</b>: Versucht, Benutzeranmeldedaten auf SSH-Diensten zu erraten.“] class tool_bruteforce tool %% Phase der Ausführung & Verteidigungsumgehung phase_exec[„<b>Phase</b> – Ausführung & Verteidigungsumgehung“] class phase_exec action tech_vm_evasion[„<b>Technik</b> – T1497 Virtualisierung/Sandbox-Umgehung<br><b>Beschreibung</b>: Erkennt Analyseumgebungen und ändert das Verhalten.“] class tech_vm_evasion action tech_unix_shell[„<b>Technik</b> – T1059.004 Befehls- und Skriptinterpreter: Unix-Shell<br><b>Beschreibung</b>: Führt Befehle über /bin/sh oder busybox aus.“] class tech_unix_shell action tech_obfuscation[„<b>Technik</b> – T1027 Verschleierte Dateien oder Informationen<br><b>Beschreibung</b>: Verwendet Verpackung oder Codierung, um bösartigen Code zu verbergen.“] class tech_obfuscation action tech_data_obfuscation[„<b>Technik</b> – T1001 Datenverschleierung<br><b>Beschreibung</b>: Verändert Daten, um Entdeckung zu vermeiden.“] class tech_data_obfuscation action tech_masquerade[„<b>Technik</b> – T1036.008 Vortäuschung: Dateityp vortäuschen<br><b>Beschreibung</b>: Benennt Binärdateien um, um als legitime Dateien zu erscheinen.“] class tech_masquerade action malware_rushdrop[„<b>Malware</b> – Name: RushDrop<br/><b>Beschreibung</b>: Nutzlast, die nach Ausnutzung geliefert wird, komprimiert mit UPX.“] class malware_rushdrop malware malware_driveswitch[„<b>Malware</b> – Name: DriveSwitch<br/><b>Beschreibung</b>: Verwendet busybox zur Befehlsausführung.“] class malware_driveswitch malware %% Phase der Privilegienausweitung phase_priv_esc[„<b>Phase</b> – Privilegienausweitung“] class phase_priv_esc action tech_exploit_priv[„<b>Technik</b> – T1068 Ausnutzung zur Privilegienausweitung<br><b>Beschreibung</b>: Nutzt anfällige Komponenten, um höhere Rechte zu erlangen.“] class tech_exploit_priv action tech_abuse_elevation[„<b>Technik</b> – T1548 Missbrauch von Erhebungskontrollmechanismen<br><b>Beschreibung</b>: Manipuliert Mechanismen, die erhöhte Privilegien gewähren.“] class tech_abuse_elevation action %% Phase des Zugriffs auf Anmeldedaten & Entdeckung phase_cred_disc[„<b>Phase</b> – Zugriff auf Anmeldedaten & Entdeckung“] class phase_cred_disc action tech_credential_dump[„<b>Technik</b> – T1003.008 Betriebssystem-Anmeldedaten auslesen<br><b>Beschreibung</b>: Liest /etc/passwd und /etc/shadow für Passwörter.“] class tech_credential_dump action tech_system_info[„<b>Technik</b> – T1082 Systeminformationsentdeckung<br><b>Beschreibung</b>: Sammelt Hostnamen, OS-Version und Hardwaredetails.“] class tech_system_info action tech_software_collect[„<b>Technik</b> – T1592.002 Informationen über Opfer-Host sammeln: Software<br><b>Beschreibung</b>: Aufgezählte installierte Softwarepakete.“] class tech_software_collect action tech_hardware_collect[„<b>Technik</b> – T1592.001 Informationen über Opfer-Host sammeln: Hardware<br><b>Beschreibung</b>: Ruft CPU-, Speicher- und Gerätedaten ab.“] class tech_hardware_collect action %% Phase der lateralen Bewegung phase_lateral[„<b>Phase</b> – Laterale Bewegung“] class phase_lateral action tech_internal_proxy[„<b>Technik</b> – T1090.001 Proxy: Interner Proxy<br><b>Beschreibung</b>: Leitet Datenverkehr durch kompromittierte interne Hosts.“] class tech_internal_proxy action tech_external_proxy[„<b>Technik</b> – T1090.002 Proxy: Externer Proxy<br><b>Beschreibung</b>: Verwendet externe Proxydienste, um Ursprung zu verschleiern.“] class tech_external_proxy action tech_protocol_tunnel[„<b>Technik</b> – T1572 Protokoll-Tunneling<br><b>Beschreibung</b>: Kapselt Datenverkehr innerhalb erlaubter Protokolle ein.“] class tech_protocol_tunnel action tech_nonstandard_port[„<b>Technik</b> – T1571 Nichtstandardisierter Anschluss<br><b>Beschreibung</b>: Kommuniziert über ungewöhnliche Ports, um Entdeckung zu vermeiden.“] class tech_nonstandard_port action %% Phase des Kommandos & Kontrolle phase_c2[„<b>Phase</b> – Kommando & Kontrolle“] class phase_c2 action tech_dead_drop[„<b>Technik</b> – T1102.001 Webdienst: Dead-Drop-Resolver<br><b>Beschreibung</b>: Löst C2-Domänen über öffentliche DNS-Abfragen auf.“] class tech_dead_drop action tech_one_way[„<b>Technik</b> – T1102.003 Webdienst: Einweg-Kommunikation<br><b>Beschreibung</b>: Sendet Daten an C2 über DNS, ohne Antworten zu erhalten.“] class tech_one_way action tech_data_encoding[„<b>Technik</b> – T1132 Daten-Codierung<br><b>Beschreibung</b>: Kodiert Befehlsausgänge vor der Übertragung.“] class tech_data_encoding action %% Verbindungen phase_recon u002du002d>|verwendet| tech_active_scanning phase_recon u002du002d>|verwendet| tech_search_closed_sources phase_initial u002du002d>|nutzt aus| tech_exploit_public_facing phase_initial u002du002d>|nutzt aus| tech_ssh_remote phase_initial u002du002d>|nutzt aus| tech_ssh_hijack phase_initial u002du002d>|verwendet| tool_bruteforce phase_exec u002du002d>|wendet an| tech_vm_evasion phase_exec u002du002d>|führt aus| tech_unix_shell phase_exec u002du002d>|wendet an| tech_obfuscation phase_exec u002du002d>|wendet an| tech_data_obfuscation phase_exec u002du002d>|wendet an| tech_masquerade phase_exec u002du002d>|liefert| malware_rushdrop phase_exec u002du002d>|liefert| malware_driveswitch phase_priv_esc u002du002d>|verwendet| tech_exploit_priv phase_priv_esc u002du002d>|verwendet| tech_abuse_elevation phase_cred_disc u002du002d>|führt durch| tech_credential_dump phase_cred_disc u002du002d>|führt durch| tech_system_info phase_cred_disc u002du002d>|führt durch| tech_software_collect phase_cred_disc u002du002d>|führt durch| tech_hardware_collect phase_lateral u002du002d>|etabliert| tech_internal_proxy phase_lateral u002du002d>|etabliert| tech_external_proxy phase_lateral u002du002d>|verwendet| tech_protocol_tunnel phase_lateral u002du002d>|verwendet| tech_nonstandard_port phase_c2 u002du002d>|löst auf| tech_dead_drop phase_c2 u002du002d>|überträgt| tech_one_way phase_c2 u002du002d>|codiert| tech_data_encoding „
Angriffsverlauf
Erkennungen
Mögliche bösartige Busybox (GTFOBin) Aktivität, die ein System-Shell erzeugt (über cmdline)
Anzeigen
Verdächtiges Linux-System oder bekannte Binärdatei aus ungewöhnlichem Pfad ausgeführt (über cmdline)
Anzeigen
Versteckte Datei wurde auf Linux-Host erstellt (über file_event)
Anzeigen
IOCs (HashMd5) zum Erkennen: UAT-7290 zielt auf wertvolle Telekommunikationsinfrastruktur in Südasien ab
Anzeigen
IOCs (HashSha256) zum Erkennen: UAT-7290 zielt auf wertvolle Telekommunikationsinfrastruktur in Südasien ab
Anzeigen
IOCs (HashSha1) zum Erkennen: UAT-7290 zielt auf wertvolle Telekommunikationsinfrastruktur in Südasien ab
Anzeigen
Erkennung von UAT-7290 Malware-Aktivitäten [Linux Prozess-Erstellung]
Anzeigen
Simulationsausführung
Voraussetzung: Der Telemetrie- & Basislinien-Pre‑flight Check muss bestanden haben.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Gegnertechniken (TTPs), die darauf abzielen, die Erkennungsregel auszulösen. Die Befehle und das Narrativ MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, genau die Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder irrelevante Beispiele führen zu Fehldiagnosen.
-
Angriffsbericht & Befehle:
-
Erstmalige Dropper-Ausführung (T1480.002):
Der Angreifer führt dasRushDropBinärprogramm aus, das als Teil seiner Nutzlast ein verstecktes Verzeichnis namens.pkgdbim aktuellen Arbeitsverzeichnis erstellt../RushDrop --install .pkgdb -
Privilegierter Komponentenstart (T1569):
Der Dropper startet dannSilentRaidmit einempluginsArgument, um bösartige Module zu laden, die Persistenz über Systemdienste herstellen.sudo ./SilentRaid --load plugins -
Netzwerkerkennung (T1016.001):
Schließlich sammelt die Malware Routing-Informationen, um das interne Netzwerk zu kartieren:cat /proc/net/route
Wenn diese drei Befehlszeilen-Fragmente zusammen auftreten (oder die ersten zwei zusammen and das dritte als Alternative), dann bewertet die Sigma Regel-Kondition als wahr und erzeugt einen Alarm.
-
-
Regressions-Testscript:
#!/usr/bin/env bash # # UAT-7290 Erkennungsvalidierungsskript # Simuliert die genauen Befehlszeilenmuster, die durch die Sigma-Regel erforderlich sind. # set -euo pipefail # 1. Erstellen Sie ein temporäres Arbeitsverzeichnis WORKDIR=$(mktemp -d) cd "$WORKDIR" # 2. Simulieren Sie die RushDrop Binärdatei echo -e '#!/usr/bin/env bashnecho "RushDrop ausgeführt"' > RushDrop chmod +x RushDrop # 3. Führen Sie RushDrop mit dem Argument .pkgdb aus (erstellt den Ordner) ./RushDrop --install .pkgdb mkdir -p .pkgdb # Nachahmen des Dropper-Verhaltens # 4. Simulieren Sie die SilentRaid Binärdatei echo -e '#!/usr/bin/env bashnecho "SilentRaid geladene plugins"' > SilentRaid chmod +x SilentRaid # 5. Führen Sie SilentRaid mit dem Argument plugins aus (benötigt sudo für Realismus) sudo ./SilentRaid --load plugins # 6. Netzwerkerkennungsbefehl cat /proc/net/route # 7. Aufräumen (optional – bei Bedarf zur manuellen Überprüfung behalten) # rm -rf "$WORKDIR" -
Bereinigungskommandos:
# Temporäres Verzeichnis und alle während des Tests erstellten Artefakte entfernen sudo rm -rf "$WORKDIR" # Auditd-Warteschlange leeren, um sicherzustellen, dass keine verbleibenden Ereignisse vorhanden sind sudo auditctl -D # Auditd neu starten, um die Standardregeln wiederherzustellen sudo systemctl restart auditd