SOC Prime Bias: Critique

12 Jan 2026 15:32 UTC

UAT-7290 cible l’infrastructure de télécommunications de haute valeur en Asie du Sud

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Suivre
UAT-7290 cible l’infrastructure de télécommunications de haute valeur en Asie du Sud
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Résumé

UAT-7290 est un groupe de menaces persistantes avancées lié à la Chine, actif depuis au moins 2022. Il priorise l’accès initial aux dispositifs de mise en réseau périphérique et effectue des intrusions axées sur l’espionnage contre les fournisseurs de télécommunications en Asie du Sud, avec une activité plus récente s’étendant en Europe du Sud-Est. L’ensemble d’outils du groupe comprend des implants Linux—RushDrop, DriveSwitch, SilentRaid et Bulbature—et des charges utiles Windows telles que RedLeaves et ShadowPad. UAT-7290 maintient également une infrastructure d’Operational Relay Box (ORB) qui peut être réutilisée pour relayer le trafic d’autres acteurs malveillants.

Enquête

Cisco Talos a analysé des échantillons pertinents et documenté une chaîne d’infection Linux étagée qui commence par le chargeur RushDrop créant un répertoire caché .pkgdb. Les étapes suivantes déploient DriveSwitch et ensuite l’implant principal SilentRaid. Ces composants utilisent la résolution DNS via des résolveurs publics pour atteindre le commandement et le contrôle et prendre en charge des capacités telles que l’exécution de commandes, la gestion de fichiers et l’établissement de shells inversés. Bulbature fonctionne comme un nœud ORB, écoutant sur des ports configurables et utilisant un certificat auto-signé récurrent que Talos a noté à travers de nombreux systèmes hébergés en Chine.

Atténuation

Renforcez les dispositifs de mise en réseau périphérique en éliminant les identifiants par défaut, en restreignant l’exposition à la gestion et en appliquant rapidement les correctifs pour les vulnérabilités connues d’un jour. Surveillez les comportements DNS anormaux, notamment les requêtes inattendues dirigées vers des résolveurs publics, ainsi que l’utilisation inhabituelle des commandes BusyBox et l’apparition de binaires inconnus dans les répertoires cachés. Le cas échéant, déployez des protections au niveau des terminaux et du réseau capables de détecter les signatures ClamAV référencées et Snort SID 65124, et assurez-vous que les alertes sont connectées aux flux de travail du SOC.

Réponse

Si une activité suspecte est identifiée, isolez l’appareil affecté, capturez la mémoire volatile et les images de disque, et bloquez immédiatement tous les domaines C2 ou adresses IP confirmés. Effectuez des analyses forensiques ciblées sur le répertoire .pkgdb, les artefacts de configuration /tmp, et toute preuve de shells inversés déclenchés. Réinitialisez les identifiants compromis, faites tourner les clés SSH, et validez qu’aucun nœud ORB ne reste opérationnel à l’intérieur de l’environnement.

Flux d’attaque

Exécution de Simulation

Prérequis : Le Contrôle des Pré‑vol de Télémétrie & de Référence doit avoir réussi.

Rationale : Cette section détaille l’exécution précise de la technique adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Des exemples abstraits ou non liés entraîneront un mauvais diagnostic.

  • Récit & Commandes d’Attaque :

    1. Exécution Initiale du Chargeur (T1480.002) :
      L’attaquant exécute le binaire RushDrop , qui, dans le cadre de sa charge utile, crée un répertoire caché nommé .pkgdb dans le répertoire de travail actuel.

      ./RushDrop --install .pkgdb
    2. Lancement de Composant Privilégié (T1569) :
      Le chargeur lance ensuite SilentRaid avec un argument plugins pour charger des modules malveillants établissant la persistance via les services système.

      sudo ./SilentRaid --load plugins
    3. Découverte Réseau (T1016.001) :
      Enfin, le malware collecte des informations de routage pour cartographier le réseau interne :

      cat /proc/net/route

    Lorsque ces trois fragments de ligne de commande apparaissent ensemble (ou les deux premiers ensemble and le troisième comme alternative), la condition de règle Sigma s’évalue à vrai, générant une alerte.

  • Script de Test de Régression :

    #!/usr/bin/env bash
    #
    # Script de validation de détection UAT‑7290
    # Simule les modèles de ligne de commande précis requis par la règle Sigma.
    #
    set -euo pipefail
    
    # 1. Crée un répertoire de travail temporaire
    WORKDIR=$(mktemp -d)
    cd "$WORKDIR"
    
    # 2. Simule le binaire RushDrop
    echo -e '#!/usr/bin/env bashnecho "RushDrop exécuté"' > RushDrop
    chmod +x RushDrop
    
    # 3. Exécute RushDrop avec l'argument .pkgdb (crée le dossier)
    ./RushDrop --install .pkgdb
    mkdir -p .pkgdb   # imite le comportement du chargeur
    
    # 4. Simule le binaire SilentRaid
    echo -e '#!/usr/bin/env bashnecho "SilentRaid a chargé les plugins"' > SilentRaid
    chmod +x SilentRaid
    
    # 5. Exécute SilentRaid avec l'argument plugins (nécessite sudo pour le réalisme)
    sudo ./SilentRaid --load plugins
    
    # 6. Commande de découverte du réseau
    cat /proc/net/route
    
    # 7. Nettoyage (optionnel – à conserver pour inspection manuelle si nécessaire)
    # rm -rf "$WORKDIR"
  • Commandes de Nettoyage :

    # Supprimer le répertoire temporaire et tous les artefacts créés pendant le test
    sudo rm -rf "$WORKDIR"
    # Vider la file d'attente auditd pour s'assurer qu'aucun événement résiduel ne reste
    sudo auditctl -D
    # Redémarrer auditd pour rétablir les règles par défaut
    sudo systemctl restart auditd