UAT-7290 націлюється на високовартісну телекомунікаційну інфраструктуру в Південній Азії

“graph TB %% Визначення класу classDef action fill:#99ccff classDef tool fill:#ffe699 classDef malware fill:#ffcccc classDef operator fill:#ff9900 %% Фаза розвідки phase_recon[“<b>Фаза</b> – Розвідка”] class phase_recon action tech_active_scanning[“<b>Техніка</b> – T1595 Активне сканування<br><b>Опис</b>: Визначити служби, версії та конфігурації інфраструктури цілі.”] class tech_active_scanning action tech_search_closed_sources[“<b>Техніка</b> – T1597.001 Пошук закритих джерел<br><b>Опис</b>: Збирати розвіддані з звітів постачальників та інших не публічних джерел.”] class tech_search_closed_sources action %% Фаза початкового доступу phase_initial[“<b>Фаза</b> – Початковий доступ”] class phase_initial action tech_exploit_public_facing[“<b>Техніка</b> – T1190 Експлуатація додатку, відкритого до Інтернету<br><b>Опис</b>: Використання вразливостей у пристроях, які відкриті до Інтернету, для отримання доступу.”] class tech_exploit_public_facing action tech_ssh_remote[“<b>Техніка</b> – T1021.004 Віддалені служби (SSH)<br><b>Опис</b>: Доступ до цільових пристроїв через SSH.”] class tech_ssh_remote action tech_ssh_hijack[“<b>Техніка</b> – T1563.001 Викрадення сесії віддаленої служби<br><b>Опис</b>: Викрадення існуючих сесій SSH для обходу автентифікації.”] class tech_ssh_hijack action tool_bruteforce[“<b>Інструмент</b> – Назва: Сценарій грубої сили SSH<br/><b>Опис</b>: Спроби здогадування облікових даних на службах SSH.”] class tool_bruteforce tool %% Фаза виконання та ухилення від захисту phase_exec[“<b>Фаза</b> – Виконання та ухилення від захисту”] class phase_exec action tech_vm_evasion[“<b>Техніка</b> – T1497 Ухилення від віртуалізації/пісочниці<br><b>Опис</b>: Виявляє середовища аналізу та змінює поведінку.”] class tech_vm_evasion action tech_unix_shell[“<b>Техніка</b> – T1059.004 Інтерпретатор команд та сценаріїв: Unix Shell<br><b>Опис</b>: Виконує команди через /bin/sh або busybox.”] class tech_unix_shell action tech_obfuscation[“<b>Техніка</b> – T1027 Обфусковані файли або інформація<br><b>Опис</b>: Використовує пакування або кодування для приховування шкідливого коду.”] class tech_obfuscation action tech_data_obfuscation[“<b>Техніка</b> – T1001 Обфускація даних<br><b>Опис</b>: Змінює дані, щоб уникнути виявлення.”] class tech_data_obfuscation action tech_masquerade[“<b>Техніка</b> – T1036.008 Маскування: Маскування типу файлу<br><b>Опис</b>: Перейменовує виконувані файли, щоб виглядати як легітимні файли.”] class tech_masquerade action malware_rushdrop[“<b>Шкідливе ПЗ</b> – Назва: RushDrop<br/><b>Опис</b>: Навантаження, доставлене після експлуатації, стиснене за допомогою UPX.”] class malware_rushdrop malware malware_driveswitch[“<b>Шкідливе ПЗ</b> – Назва: DriveSwitch<br/><b>Опис</b>: Використовує busybox для виконання команд.”] class malware_driveswitch malware %% Фаза підвищення привілеїв phase_priv_esc[“<b>Фаза</b> – Підвищення привілеїв”] class phase_priv_esc action tech_exploit_priv[“<b>Техніка</b> – T1068 Експлуатація для підвищення привілеїв<br><b>Опис</b>: Використовує вразливі компоненти для отримання більше прав.”] class tech_exploit_priv action tech_abuse_elevation[“<b>Техніка</b> – T1548 Зловживання механізмом підвищення привілеїв<br><b>Опис</b>: Маніпулює механізмами, які надають підвищені привілеї.”] class tech_abuse_elevation action %% Фаза доступу до облікових даних та виявлення phase_cred_disc[“<b>Фаза</b> – Доступ до облікових даних та виявлення”] class phase_cred_disc action tech_credential_dump[“<b>Техніка</b> – T1003.008 Вивантаження облікових даних ОС<br><b>Опис</b>: Читає /etc/passwd і /etc/shadow для отримання паролів.”] class tech_credential_dump action tech_system_info[“<b>Техніка</b> – T1082 Виявлення інформації про систему<br><b>Опис</b>: Збирає ім’я хосту, версію ОС і деталі обладнання.”] class tech_system_info action tech_software_collect[“<b>Техніка</b> – T1592.002 Збір інформації про хост жертви: Програмне забезпечення<br><b>Опис</b>: Перелічує встановлені пакети програмного забезпечення.”] class tech_software_collect action tech_hardware_collect[“<b>Техніка</b> – T1592.001 Збір інформації про хост жертви: Обладнання<br><b>Опис</b>: Отримує дані про процесор, пам’ять та пристрої.”] class tech_hardware_collect action %% Фаза латерального руху phase_lateral[“<b>Фаза</b> – Латеральний рух”] class phase_lateral action tech_internal_proxy[“<b>Техніка</b> – T1090.001 Проксі: Внутрішній проксі<br><b>Опис</b>: Передає трафік через скомпрометовані внутрішні хости.”] class tech_internal_proxy action tech_external_proxy[“<b>Техніка</b> – T1090.002 Проксі: Зовнішній проксі<br><b>Опис</b>: Використовує зовнішні послуги проксі, щоб приховати джерело.”] class tech_external_proxy action tech_protocol_tunnel[“<b>Техніка</b> – T1572 Тунелювання протоколів<br><b>Опис</b>: Інкапсулює трафік у дозволених протоколах.”] class tech_protocol_tunnel action tech_nonstandard_port[“<b>Техніка</b> – T1571 Нестандартний порт<br><b>Опис</b>: Спілкується через незвичайні порти, щоб уникнути виявлення.”] class tech_nonstandard_port action %% Фаза командування та контролю phase_c2[“<b>Фаза</b> – Командування та контроль”] class phase_c2 action tech_dead_drop[“<b>Техніка</b> – T1102.001 Веб-служба: Ухвалення рішень через мертву точку<br><b>Опис</b>: Визначає C2 домени через запити публічних DNS.”] class tech_dead_drop action tech_one_way[“<b>Техніка</b> – T1102.003 Веб-служба: Односторонній зв’язок<br><b>Опис</b>: Відправляє дані до C2 через DNS без отримання відповідей.”] class tech_one_way action tech_data_encoding[“<b>Техніка</b> – T1132 Кодування даних<br><b>Опис</b>: Кодує результати команд перед передачею.”] class tech_data_encoding action %% З’єднання phase_recon u002du002d>|використовує| tech_active_scanning phase_recon u002du002d>|використовує| tech_search_closed_sources phase_initial u002du002d>|використовує| tech_exploit_public_facing phase_initial u002du002d>|використовує| tech_ssh_remote phase_initial u002du002d>|використовує| tech_ssh_hijack phase_initial u002du002d>|використовує| tool_bruteforce phase_exec u002du002d>|застосовує| tech_vm_evasion phase_exec u002du002d>|виконує| tech_unix_shell phase_exec u002du002d>|застосовує| tech_obfuscation phase_exec u002du002d>|застосовує| tech_data_obfuscation phase_exec u002du002d>|застосовує| tech_masquerade phase_exec u002du002d>|доставляє| malware_rushdrop phase_exec u002du002d>|доставляє| malware_driveswitch phase_priv_esc u002du002d>|використовує| tech_exploit_priv phase_priv_esc u002du002d>|використовує| tech_abuse_elevation phase_cred_disc u002du002d>|виконує| tech_credential_dump phase_cred_disc u002du002d>|виконує| tech_system_info phase_cred_disc u002du002d>|виконує| tech_software_collect phase_cred_disc u002du002d>|виконує| tech_hardware_collect phase_lateral u002du002d>|встановлює| tech_internal_proxy phase_lateral u002du002d>|встановлює| tech_external_proxy phase_lateral u002du002d>|використовує| tech_protocol_tunnel phase_lateral u002du002d>|використовує| tech_nonstandard_port phase_c2 u002du002d>|визначає| tech_dead_drop phase_c2 u002du002d>|передає| tech_one_way phase_c2 u002du002d>|кодує| tech_data_encoding “

Потік атаки