SOC Prime Bias: Kritisch

12 Jan 2026 15:32 UTC

UAT-7290 zielt auf hochwertige Telekommunikationsinfrastruktur in Südasien ab

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Folgen
UAT-7290 zielt auf hochwertige Telekommunikationsinfrastruktur in Südasien ab
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

UAT-7290 ist eine China-verbundene Advanced Persistent Threat Gruppe, die seit mindestens 2022 aktiv ist. Sie priorisiert den initialen Zugriff auf Randnetzwerkgeräte und führt spionagegetriebene Einbrüche gegen Telekommunikationsanbieter in Südasien durch, mit neueren Aktivitäten, die sich auf Südosteuropa ausweiten. Das Toolset der Gruppe umfasst Linux-Implants – RushDrop, DriveSwitch, SilentRaid und Bulbature – sowie Windows-Payloads wie RedLeaves und ShadowPad. UAT-7290 unterhält auch Operational Relay Box (ORB) Infrastrukturen, die umfunktioniert werden können, um den Verkehr für andere Bedrohungsakteure weiterzuleiten.

Untersuchung

Cisco Talos analysierte relevante Proben und dokumentierte eine gestufte Linux-Infektionskette, die mit der Erstellung eines versteckten .pkgdb Verzeichnisses durch den RushDrop-Loader beginnt. In den folgenden Stufen werden DriveSwitch und anschließend das Primärimplantat SilentRaid bereitgestellt. Diese Komponenten nutzen DNS-Auflösung durch öffentliche Resolver, um Kommando- und Kontrollserver zu erreichen und unterstützen Fähigkeiten wie Kommandoausführung, Dateiverwaltung und die Einrichtung von Reverse-Shells. Bulbature fungiert als ORB-Knoten, lauscht auf konfigurierbaren Ports und verwendet ein wiederkehrendes, selbstsigniertes Zertifikat, das Talos auf zahlreichen in China gehosteten Systemen bemerkte.

Minderung

Verstärken Sie Randnetzwerkgeräte, indem Sie Standardanmeldedaten beseitigen, die Verwaltungsexposition einschränken und bekannte One-Day-Schwachstellen schnell reparieren. Überwachen Sie auffälliges DNS-Verhalten – insbesondere unerwartete Anfragen, die an öffentliche Resolver weitergeleitet werden – sowie ungewöhnliche BusyBox-Befehlsnutzung und das Auftreten unbekannter Binärdateien in versteckten Verzeichnissen. Setzen Sie, wo zutreffend, Endpunkt- und Netzwerksicherungen ein, die die genannten ClamAV-Signaturen und Snort SID 65124 erkennen und stellen Sie sicher, dass Warnungen in SOC-Arbeitsabläufe integriert sind.

Reaktion

Falls verdächtige Aktivitäten identifiziert werden, isolieren Sie das betroffene Gerät, erfassen Sie flüchtigen Speicher und Disk-Images und blockieren Sie sofort alle bestätigten C2-Domains oder IP-Adressen. Führen Sie gezielte forensische Untersuchungen des .pkgdb Verzeichnisses, der /tmp-Konfigurationsartefakte und aller Nachweise von gestarten Reverse-Shells durch. Setzen Sie kompromittierte Anmeldedaten zurück, rotieren Sie SSH-Schlüssel und verifizieren Sie, dass keine ORB-Knoten mehr innerhalb der Umgebung aktiv sind.

Angriffsverlauf

Simulationsausführung

Voraussetzung: Der Telemetrie- & Basislinien-Pre‑flight Check muss bestanden haben.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Gegnertechniken (TTPs), die darauf abzielen, die Erkennungsregel auszulösen. Die Befehle und das Narrativ MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, genau die Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird. Abstrakte oder irrelevante Beispiele führen zu Fehldiagnosen.

  • Angriffsbericht & Befehle:

    1. Erstmalige Dropper-Ausführung (T1480.002):
      Der Angreifer führt das RushDrop Binärprogramm aus, das als Teil seiner Nutzlast ein verstecktes Verzeichnis namens .pkgdb im aktuellen Arbeitsverzeichnis erstellt.

      ./RushDrop --install .pkgdb
    2. Privilegierter Komponentenstart (T1569):
      Der Dropper startet dann SilentRaid mit einem plugins Argument, um bösartige Module zu laden, die Persistenz über Systemdienste herstellen.

      sudo ./SilentRaid --load plugins
    3. Netzwerkerkennung (T1016.001):
      Schließlich sammelt die Malware Routing-Informationen, um das interne Netzwerk zu kartieren:

      cat /proc/net/route

    Wenn diese drei Befehlszeilen-Fragmente zusammen auftreten (oder die ersten zwei zusammen and das dritte als Alternative), dann bewertet die Sigma Regel-Kondition als wahr und erzeugt einen Alarm.

  • Regressions-Testscript:

    #!/usr/bin/env bash
    #
    # UAT-7290 Erkennungsvalidierungsskript
    # Simuliert die genauen Befehlszeilenmuster, die durch die Sigma-Regel erforderlich sind.
    #
    set -euo pipefail
    
    # 1. Erstellen Sie ein temporäres Arbeitsverzeichnis
    WORKDIR=$(mktemp -d)
    cd "$WORKDIR"
    
    # 2. Simulieren Sie die RushDrop Binärdatei
    echo -e '#!/usr/bin/env bashnecho "RushDrop ausgeführt"' > RushDrop
    chmod +x RushDrop
    
    # 3. Führen Sie RushDrop mit dem Argument .pkgdb aus (erstellt den Ordner)
    ./RushDrop --install .pkgdb
    mkdir -p .pkgdb   # Nachahmen des Dropper-Verhaltens
    
    # 4. Simulieren Sie die SilentRaid Binärdatei
    echo -e '#!/usr/bin/env bashnecho "SilentRaid geladene plugins"' > SilentRaid
    chmod +x SilentRaid
    
    # 5. Führen Sie SilentRaid mit dem Argument plugins aus (benötigt sudo für Realismus)
    sudo ./SilentRaid --load plugins
    
    # 6. Netzwerkerkennungsbefehl
    cat /proc/net/route
    
    # 7. Aufräumen (optional – bei Bedarf zur manuellen Überprüfung behalten)
    # rm -rf "$WORKDIR"
  • Bereinigungskommandos:

    # Temporäres Verzeichnis und alle während des Tests erstellten Artefakte entfernen
    sudo rm -rf "$WORKDIR"
    # Auditd-Warteschlange leeren, um sicherzustellen, dass keine verbleibenden Ereignisse vorhanden sind
    sudo auditctl -D
    # Auditd neu starten, um die Standardregeln wiederherzustellen
    sudo systemctl restart auditd