UAT-7810 baut weiterhin ORB-Netzwerke mit neuer Malware
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
Die mit China verbundene APT-Gruppe UAT-7810 setzt die Expansion ihres LapDogs Operational Relay Box Netzwerks mit einem Toolkit aus maßgeschneiderter Malware fort, das LONGLEASH, DOGLEASH und JARLEASH umfasst. Der Akteur konzentriert sich auf eingebettete Geräte und Netzwerktechniken, um Proxy-Infrastruktur aufzubauen, die später von sekundären Bedrohungsakteuren genutzt werden kann. Diese Operationen stützen sich teilweise auf die Ausnutzung bekannter Schwachstellen in Ruckus- und ASUS-Geräten.
Untersuchung
Cisco Talos untersuchte die Infrastruktur und Malware, die mit UAT-7810 verbunden sind, und identifizierte aktualisierte Versionen von bereits bekannten Tools sowie zwei gänzlich neue Malware-Familien. Die Analyse zeigte die Nutzung spezifischer VPS-Knoten und eines maßgeschneiderten TLS-Zertifikats-Fingerabdrucks für den Befehl-und-Kontrollverkehr. Forscher verbanden auch die Infrastruktur des Akteurs mit Anstrengungen, das ORB-Netzwerk auf ASUS AiCloud Router-Umgebungen auszudehnen.
Abschwächung
Organisationen sollten die Patch-Verwaltung von Ruckus-Funkroutern gegen bekannte Probleme wie prioritär behandeln CVE-2020-22653, CVE-2020-22658, und CVE-2023-25717. Die Sicherung von ASUS AiCloud Routern gegen CVE-2025-2492 ist ebenfalls unerlässlich. Netzwerksegmentierung, die IoT und eingebettete Geräte isoliert, kann das Risiko weiter reduzieren, dass diese Systeme als Relay-Knoten umfunktioniert werden.
Reaktion
Wenn die identifizierten IP-Adressen oder der interne Name ff-agent erkannt werden, sollten Vorfallreaktionsteams die betroffenen Netzwerkgeräte sofort isolieren. In der forensischen Analyse sollte dann nach LEASHTEST-Artefakten oder unerlaubten Shell-Skripten gesucht werden. Netzwerk-Telemetrie sollte auch auf den Chrome-User-Agent-String überprüft werden, der mit dem LONGLEASH-Implantat assoziiert ist.
Angriffsablauf
Simulation Ausführung
Voraussetzung: Der Telemetrie- und Baseline-Preflight-Check muss bestanden haben.
Begründung: Dieser Abschnitt beschreibt den genauen Ablauf der gegnerischen Technik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und Erzählung MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht zusammenhängende Beispiele führen zu Fehldiagnosen.
-
Angriffserzählung & Befehle: Der Angreifer hat erfolgreich initialen Zugriff auf das Linux-Ziel über eine Webschwachstelle erlangt (Verwendung von CVE-2023-25717). Um Persistenz und Befehl-und-Kontrolle (C2) aufzubauen, lädt dieser eine spezialisierte Hintertür von seiner Infrastruktur herunter. Entsprechend den Mustern der UAT-7810-Malware-Familie benennt der Angreifer das abgelegt Binary
LEASHTESTum sich in potenziellen Testscripten einzufügen, doch die Namenskonvention selbst ist ein Erkennungsmerkmal dieses spezifischen Bedrohungsakteurs. Der Angreifer führt dann./LEASHTESTaus, um eine Reverse-Shell zu initiieren, was die Erkennungsregel aufgrund des Prozessnamens auslösen sollte. -
Regressionstest-Skript:
#!/bin/bash # Simulationsskript für UAT-7810 Malware Prozessnamen-Erkennung echo "[+] Starte Simulation: UAT-7810 Malware Hintertür" # 1. Erstelle ein Dummy-Binary, um die Malware zu simulieren # In einem realen Szenario wäre dies die tatsächliche bösartige ELF-Datei. echo "#!/bin/bash" > LEASHTEST echo "echo 'Simulierte Malware-Payload ausgeführt'" >> LEASHTEST # 2. Mache die Datei ausführbar chmod +x LEASHTEST # 3. Führe die 'Malware' aus, um die Erkennungsregel auszulösen echo "[+] Führe LEASHTEST aus..." ./LEASHTEST echo "[+] Simulationsbefehl abgeschlossen." -
Aufräum-Befehle:
# Reinigung der Simulationsartefakte rm -f LEASHTEST echo "[+] Aufräumen abgeschlossen."