UAT-7290 cible l’infrastructure de télécommunications de haute valeur en Asie du Sud
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
UAT-7290 est un groupe de menaces persistantes avancées lié à la Chine, actif depuis au moins 2022. Il priorise l’accès initial aux dispositifs de mise en réseau périphérique et effectue des intrusions axées sur l’espionnage contre les fournisseurs de télécommunications en Asie du Sud, avec une activité plus récente s’étendant en Europe du Sud-Est. L’ensemble d’outils du groupe comprend des implants Linux—RushDrop, DriveSwitch, SilentRaid et Bulbature—et des charges utiles Windows telles que RedLeaves et ShadowPad. UAT-7290 maintient également une infrastructure d’Operational Relay Box (ORB) qui peut être réutilisée pour relayer le trafic d’autres acteurs malveillants.
Enquête
Cisco Talos a analysé des échantillons pertinents et documenté une chaîne d’infection Linux étagée qui commence par le chargeur RushDrop créant un répertoire caché .pkgdb. Les étapes suivantes déploient DriveSwitch et ensuite l’implant principal SilentRaid. Ces composants utilisent la résolution DNS via des résolveurs publics pour atteindre le commandement et le contrôle et prendre en charge des capacités telles que l’exécution de commandes, la gestion de fichiers et l’établissement de shells inversés. Bulbature fonctionne comme un nœud ORB, écoutant sur des ports configurables et utilisant un certificat auto-signé récurrent que Talos a noté à travers de nombreux systèmes hébergés en Chine.
Atténuation
Renforcez les dispositifs de mise en réseau périphérique en éliminant les identifiants par défaut, en restreignant l’exposition à la gestion et en appliquant rapidement les correctifs pour les vulnérabilités connues d’un jour. Surveillez les comportements DNS anormaux, notamment les requêtes inattendues dirigées vers des résolveurs publics, ainsi que l’utilisation inhabituelle des commandes BusyBox et l’apparition de binaires inconnus dans les répertoires cachés. Le cas échéant, déployez des protections au niveau des terminaux et du réseau capables de détecter les signatures ClamAV référencées et Snort SID 65124, et assurez-vous que les alertes sont connectées aux flux de travail du SOC.
Réponse
Si une activité suspecte est identifiée, isolez l’appareil affecté, capturez la mémoire volatile et les images de disque, et bloquez immédiatement tous les domaines C2 ou adresses IP confirmés. Effectuez des analyses forensiques ciblées sur le répertoire .pkgdb, les artefacts de configuration /tmp, et toute preuve de shells inversés déclenchés. Réinitialisez les identifiants compromis, faites tourner les clés SSH, et validez qu’aucun nœud ORB ne reste opérationnel à l’intérieur de l’environnement.
Flux d’attaque
Détections
Activité Potentielle Malveillante avec Busybox (GTFOBin) Déclenchant un Shell Système (via cmdline)
Voir
Système Linux Suspect ou Binaire Connu Exécuté Depuis un Chemin Inhabituel (via cmdline)
Voir
Fichier Caché Créé sur un Hôte Linux (via file_event)
Voir
IOCs (HashMd5) pour détecter : UAT-7290 cible l’infrastructure de télécommunications de grande valeur en Asie du Sud
Voir
IOCs (HashSha256) pour détecter : UAT-7290 cible l’infrastructure de télécommunications de grande valeur en Asie du Sud
Voir
IOCs (HashSha1) pour détecter : UAT-7290 cible l’infrastructure de télécommunications de grande valeur en Asie du Sud
Voir
Détection des Activités Malveillantes de UAT-7290 [Création de Processus Linux]
Voir
Exécution de Simulation
Prérequis : Le Contrôle des Pré‑vol de Télémétrie & de Référence doit avoir réussi.
Rationale : Cette section détaille l’exécution précise de la technique adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection. Des exemples abstraits ou non liés entraîneront un mauvais diagnostic.
-
Récit & Commandes d’Attaque :
-
Exécution Initiale du Chargeur (T1480.002) :
L’attaquant exécute le binaireRushDrop, qui, dans le cadre de sa charge utile, crée un répertoire caché nommé.pkgdbdans le répertoire de travail actuel../RushDrop --install .pkgdb -
Lancement de Composant Privilégié (T1569) :
Le chargeur lance ensuiteSilentRaidavec un argumentpluginspour charger des modules malveillants établissant la persistance via les services système.sudo ./SilentRaid --load plugins -
Découverte Réseau (T1016.001) :
Enfin, le malware collecte des informations de routage pour cartographier le réseau interne :cat /proc/net/route
Lorsque ces trois fragments de ligne de commande apparaissent ensemble (ou les deux premiers ensemble and le troisième comme alternative), la condition de règle Sigma s’évalue à vrai, générant une alerte.
-
-
Script de Test de Régression :
#!/usr/bin/env bash # # Script de validation de détection UAT‑7290 # Simule les modèles de ligne de commande précis requis par la règle Sigma. # set -euo pipefail # 1. Crée un répertoire de travail temporaire WORKDIR=$(mktemp -d) cd "$WORKDIR" # 2. Simule le binaire RushDrop echo -e '#!/usr/bin/env bashnecho "RushDrop exécuté"' > RushDrop chmod +x RushDrop # 3. Exécute RushDrop avec l'argument .pkgdb (crée le dossier) ./RushDrop --install .pkgdb mkdir -p .pkgdb # imite le comportement du chargeur # 4. Simule le binaire SilentRaid echo -e '#!/usr/bin/env bashnecho "SilentRaid a chargé les plugins"' > SilentRaid chmod +x SilentRaid # 5. Exécute SilentRaid avec l'argument plugins (nécessite sudo pour le réalisme) sudo ./SilentRaid --load plugins # 6. Commande de découverte du réseau cat /proc/net/route # 7. Nettoyage (optionnel – à conserver pour inspection manuelle si nécessaire) # rm -rf "$WORKDIR" -
Commandes de Nettoyage :
# Supprimer le répertoire temporaire et tous les artefacts créés pendant le test sudo rm -rf "$WORKDIR" # Vider la file d'attente auditd pour s'assurer qu'aucun événement résiduel ne reste sudo auditctl -D # Redémarrer auditd pour rétablir les règles par défaut sudo systemctl restart auditd