UAT-7810 continua construindo redes ORB usando novo malware
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
O grupo APT UAT-7810, associado à China, continua a expandir sua rede LapDogs Operational Relay Box com um conjunto de malware personalizado que inclui LONGLEASH, DOGLEASH e JARLEASH. O ator se concentra em dispositivos incorporados e hardware de rede para construir uma infraestrutura de proxy que pode ser utilizada posteriormente por atores de ameaça secundários. Estas operações dependem em parte da exploração de falhas conhecidas em equipamentos Ruckus e ASUS.
Investigação
A Cisco Talos examinou a infraestrutura e o malware vinculados ao UAT-7810 e identificou versões atualizadas de ferramentas anteriormente conhecidas, além de duas novas famílias de malware. A análise revelou o uso de nós VPS específicos e uma impressão digital personalizada de certificado TLS para o tráfego de comando e controle. Pesquisadores também conectaram a infraestrutura do ator a esforços destinados a estender a rede ORB para ambientes de roteadores ASUS AiCloud.
Mitigação
As organizações devem priorizar os patches nos roteadores sem fio Ruckus contra problemas conhecidos, como CVE-2020-22653, CVE-2020-22658, e CVE-2023-25717. Proteger os roteadores ASUS AiCloud contra CVE-2025-2492 também é essencial. A segmentação de rede que isola dispositivos IoT e incorporados pode reduzir ainda mais o risco de esses sistemas serem reutilizados como nós de retransmissão.
Resposta
Se os endereços IP identificados ou o nome interno ff-agent forem detectados, os respondedores de incidentes devem isolar imediatamente os dispositivos de rede afetados. A análise forense deve então verificar artefatos LEASHTEST ou scripts shell não autorizados. A telemetria de rede também deve ser revisada quanto à string de agente do usuário Chrome associada ao implante LONGLEASH.
Fluxo de Ataque
Detecções
Execução de Simulação
Pré-requisito: O Check de Telemetria & Baseline Pre-flight deve ter sido aprovado.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.
-
Narrativa & Comandos de Ataque: O adversário obteve acesso inicial com sucesso ao alvo Linux por meio de uma vulnerabilidade na web (explorando CVE-2023-25717). Para estabelecer persistência e comando e controle (C2), eles baixam um backdoor especializado de sua infraestrutura. Seguindo os padrões da família de malware UAT-7810, o invasor nomeia o binário dropado
LEASHTESTpara se misturar com potenciais scripts de teste, mas a convenção de nomenclatura em si é uma assinatura deste ator de ameaça específico. O invasor então executa./LEASHTESTpara iniciar um shell reverso, o que deve acionar a regra de detecção com base no nome do processo. -
Script de Teste de Regressão:
#!/bin/bash # Script de simulação para Detecção de Nome de Processo de Malware UAT-7810 echo "[+] Iniciando Simulação: Backdoor de Malware UAT-7810" # 1. Criar um binário dummy para simular o malware # Em um cenário real, este seria o arquivo ELF malicioso real. echo "#!/bin/bash" > LEASHTEST echo "echo 'Carga útil de Malware Simulada Executada'" >> LEASHTEST # 2. Tornar o arquivo executável chmod +x LEASHTEST # 3. Executar o 'malware' para acionar a regra de detecção echo "[+] Executando LEASHTEST..." ./LEASHTEST echo "[+] Comando de Simulação Concluído." -
Comandos de Limpeza:
# Limpar artefatos de simulação rm -f LEASHTEST echo "[+] Limpeza completa."