UAT-7290 mira a infrastrutture di telecomunicazioni ad alto valore in Asia Meridionale
Segui
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
UAT-7290 è un gruppo di minaccia persistente avanzato collegato alla Cina, attivo almeno dal 2022. Prioritizza l’accesso iniziale ai dispositivi di rete periferici ed esegue intrusioni focalizzate sull’espionaggio nei confronti di fornitori di telecomunicazioni nel Sud Asia, con attivitĂ piĂą recenti estese nel Sudest Europa. Il kit di strumenti del gruppo spazia da impianti Linux — RushDrop, DriveSwitch, SilentRaid e Bulbature — e payload Windows come RedLeaves e ShadowPad. UAT-7290 mantiene anche un’infrastruttura Operational Relay Box (ORB) che può essere riutilizzata per trasmettere traffico per altri attori di minacce.
Indagine
Cisco Talos ha analizzato campioni rilevanti e documentato una catena di infezione Linux a stadi che inizia con il dropper RushDrop che crea una directory nascosta .pkgdb. Gli stadi successivi distribuiscono DriveSwitch e poi l’impianto principale SilentRaid. Questi componenti usano la risoluzione DNS tramite risolutori pubblici per raggiungere il command-and-control e supportare capacitĂ come l’esecuzione di comandi, la gestione dei file e l’instaurazione di reverse shell. Bulbature funge da nodo ORB, ascoltando su porte configurabili e utilizzando un certificato autosottoscritto ricorrente che Talos ha notato su numerosi sistemi ospitati in Cina.
Mitigazione
Rinforza i dispositivi di rete periferici eliminando le credenziali predefinite, limitando l’esposizione alla gestione e applicando rapidamente patch alle vulnerabilitĂ di giorno conosciuti. Monitora comportamenti DNS anomali, specialmente query inaspettate indirizzate a risolutori pubblici, insieme a utilizzi insoliti del comando BusyBox e la presenza di binari sconosciuti all’interno di directory nascoste. Dove applicabile, distribuisci protezioni endpoint e di rete capaci di rilevare le firme referenced ClamAV e Snort SID 65124, e assicurati che l’allerta sia cablata nei flussi di lavoro del SOC.
Risposta
Se viene identificata un’attivitĂ sospetta, isola il dispositivo interessato, cattura la memoria volatile e le immagini del disco e blocca immediatamente qualsiasi dominio C2 o indirizzo IP confermato. Effettua forense mirata sulla directory .pkgdb, artefatti di configurazione /tmp e qualsiasi evidenza di reverse shell generate. Resetta le credenziali compromesse, ruota le chiavi SSH e convalida che non rimangano nodi ORB operativi all’interno dell’ambiente.
“graph TB %% Definizioni delle classi classDef action fill:#99ccff classDef tool fill:#ffe699 classDef malware fill:#ffcccc classDef operator fill:#ff9900 %% Fase di Ricognizione phase_recon[“<b>Fase</b> – Ricognizione”] class phase_recon action tech_active_scanning[“<b>Tecnica</b> – T1595 Scansione Attiva<br><b>Descrizione</b>: Identifica servizi, versioni e configurazioni dell’infrastruttura target.”] class tech_active_scanning action tech_search_closed_sources[“<b>Tecnica</b> – T1597.001 Ricerca in Fonti Chiuse<br><b>Descrizione</b>: Raccoglie informazioni da rapporti di fornitori e altre fonti non pubbliche.”] class tech_search_closed_sources action %% Fase di Accesso Iniziale phase_initial[“<b>Fase</b> – Accesso Iniziale”] class phase_initial action tech_exploit_public_facing[“<b>Tecnica</b> – T1190 Sfruttamento di Applicazioni Esposte al Pubblico<br><b>Descrizione</b>: Utilizza vulnerabilitĂ nei dispositivi esposti a internet per ottenere un punto d’appoggio.”] class tech_exploit_public_facing action tech_ssh_remote[“<b>Tecnica</b> – T1021.004 Servizi Remoti (SSH)<br><b>Descrizione</b>: Accedono ai dispositivi target tramite SSH.”] class tech_ssh_remote action tech_ssh_hijack[“<b>Tecnica</b> – T1563.001 Dirottamento Sessione Servizi Remoti<br><b>Descrizione</b>: Dirola sessioni SSH esistenti per bypassare l’autenticazione.”] class tech_ssh_hijack action tool_bruteforce[“<b>Strumento</b> – Nome: Script di Forza Bruta SSH<br/><b>Descrizione</b>: Tenta di indovinare le credenziali su servizi SSH.”] class tool_bruteforce tool %% Fase di Esecuzione & Evasione delle Difese phase_exec[“<b>Fase</b> – Esecuzione & Evasione delle Difese”] class phase_exec action tech_vm_evasion[“<b>Tecnica</b> – T1497 Evasione Virtualizzazione/Sandbox<br><b>Descrizione</b>: Rileva ambienti di analisi e modifica il comportamento.”] class tech_vm_evasion action tech_unix_shell[“<b>Tecnica</b> – T1059.004 Interprete di Comandi e Script: Shell Unix<br><b>Descrizione</b>: Esegue comandi tramite /bin/sh o busybox.”] class tech_unix_shell action tech_obfuscation[“<b>Tecnica</b> – T1027 File o Informazioni Offuscate<br><b>Descrizione</b>: Utilizza packing o codifica per nascondere codice malevolo.”] class tech_obfuscation action tech_data_obfuscation[“<b>Tecnica</b> – T1001 Offuscamento Dati<br><b>Descrizione</b>: Modifica i dati per evitare la rilevazione.”] class tech_data_obfuscation action tech_masquerade[“<b>Tecnica</b> – T1036.008 Mascheramento: Maschera Tipo di File<br><b>Descrizione</b>: Rinomina i binari per sembrare file legittimi.”] class tech_masquerade action malware_rushdrop[“<b>Malware</b> – Nome: RushDrop<br/><b>Descrizione</b>: Payload consegnato dopo lo sfruttamento, compresso con UPX.”] class malware_rushdrop malware malware_driveswitch[“<b>Malware</b> – Nome: DriveSwitch<br/><b>Descrizione</b>: Utilizza busybox per l’esecuzione dei comandi.”] class malware_driveswitch malware %% Fase di Aumento dei Privilegi phase_priv_esc[“<b>Fase</b> – Aumento dei Privilegi”] class phase_priv_esc action tech_exploit_priv[“<b>Tecnica</b> – T1068 Sfruttamento per Aumento dei Privilegi<br><b>Descrizione</b>: Sfrutta componenti vulnerabili per ottenere diritti piĂą elevati.”] class tech_exploit_priv action tech_abuse_elevation[“<b>Tecnica</b> – T1548 Abuso del Meccanismo di Elevazione Controllo<br><b>Descrizione</b>: Manipola i meccanismi che concedono privilegi elevati.”] class tech_abuse_elevation action %% Fase di Accesso alle Credenziali & Scoperta phase_cred_disc[“<b>Fase</b> – Accesso alle Credenziali & Scoperta”] class phase_cred_disc action tech_credential_dump[“<b>Tecnica</b> – T1003.008 Dump delle Credenziali di Sistema Operativo<br><b>Descrizione</b>: Legge /etc/passwd e /etc/shadow per le password.”] class tech_credential_dump action tech_system_info[“<b>Tecnica</b> – T1082 Scoperta delle Informazioni di Sistema<br><b>Descrizione</b>: Raccoglie hostname, versione OS e dettagli hardware.”] class tech_system_info action tech_software_collect[“<b>Tecnica</b> – T1592.002 Raccolta Informazioni Host Vittima: Software<br><b>Descrizione</b>: Elenca pacchetti software installati.”] class tech_software_collect action tech_hardware_collect[“<b>Tecnica</b> – T1592.001 Raccolta Informazioni Host Vittima: Hardware<br><b>Descrizione</b>: Recupera dati CPU, memoria e dispositivi.”] class tech_hardware_collect action %% Fase di Movimento Laterale phase_lateral[“<b>Fase</b> – Movimento Laterale”] class phase_lateral action tech_internal_proxy[“<b>Tecnica</b> – T1090.001 Proxy: Proxy Interno<br><b>Descrizione</b>: Trasmette traffico tramite host interni compromessi.”] class tech_internal_proxy action tech_external_proxy[“<b>Tecnica</b> – T1090.002 Proxy: Proxy Esterno<br><b>Descrizione</b>: Utilizza servizi proxy esterni per nascondere l’origine.”] class tech_external_proxy action tech_protocol_tunnel[“<b>Tecnica</b> – T1572 Tunnel del Protocollo<br><b>Descrizione</b>: Incapsula il traffico all’interno di protocolli consentiti.”] class tech_protocol_tunnel action tech_nonstandard_port[“<b>Tecnica</b> – T1571 Porta Non-Standard<br><b>Descrizione</b>: Comunica su porte non comuni per evitare la rilevazione.”] class tech_nonstandard_port action %% Fase di Comando & Controllo phase_c2[“<b>Fase</b> – Comando & Controllo”] class phase_c2 action tech_dead_drop[“<b>Tecnica</b> – T1102.001 Servizio Web: Risolutore Dead Drop<br><b>Descrizione</b>: Risolve domini C2 tramite query DNS pubbliche.”] class tech_dead_drop action tech_one_way[“<b>Tecnica</b> – T1102.003 Servizio Web: Comunicazione Unidirezionale<br><b>Descrizione</b>: Invia dati a C2 tramite DNS senza ricevere risposte.”] class tech_one_way action tech_data_encoding[“<b>Tecnica</b> – T1132 Codifica Dati<br><b>Descrizione</b>: Codifica i risultati dei comandi prima della trasmissione.”] class tech_data_encoding action %% Connessioni phase_recon u002du002d>|usa| tech_active_scanning phase_recon u002du002d>|usa| tech_search_closed_sources phase_initial u002du002d>|sfrutta| tech_exploit_public_facing phase_initial u002du002d>|sfrutta| tech_ssh_remote phase_initial u002du002d>|sfrutta| tech_ssh_hijack phase_initial u002du002d>|usa| tool_bruteforce phase_exec u002du002d>|impiega| tech_vm_evasion phase_exec u002du002d>|esegue| tech_unix_shell phase_exec u002du002d>|applica| tech_obfuscation phase_exec u002du002d>|applica| tech_data_obfuscation phase_exec u002du002d>|applica| tech_masquerade phase_exec u002du002d>|consegna| malware_rushdrop phase_exec u002du002d>|consegna| malware_driveswitch phase_priv_esc u002du002d>|usa| tech_exploit_priv phase_priv_esc u002du002d>|usa| tech_abuse_elevation phase_cred_disc u002du002d>|esegue| tech_credential_dump phase_cred_disc u002du002d>|esegue| tech_system_info phase_cred_disc u002du002d>|esegue| tech_software_collect phase_cred_disc u002du002d>|esegue| tech_hardware_collect phase_lateral u002du002d>|stabilisce| tech_internal_proxy phase_lateral u002du002d>|stabilisce| tech_external_proxy phase_lateral u002du002d>|utilizza| tech_protocol_tunnel phase_lateral u002du002d>|utilizza| tech_nonstandard_port phase_c2 u002du002d>|risolve| tech_dead_drop phase_c2 u002du002d>|trasmette| tech_one_way phase_c2 u002du002d>|codifica| tech_data_encoding “
Flusso di Attacco
Rilevamenti
Possibile AttivitĂ Malevola di Busybox (GTFOBin) Che Genera Shell di Sistema (tramite cmdline)
Visualizza
Sistema Linux Sospetto o Binario Conosciuto Eseguito da Percorso Insolito (tramite cmdline)
Visualizza
File Nascosto Creato su Host Linux (tramite file_event)
Visualizza
IOC (HashMd5) per rilevare: UAT-7290 mira all’infrastruttura di telecomunicazioni di grande valore nel Sud Asia
Visualizza
IOC (HashSha256) per rilevare: UAT-7290 mira all’infrastruttura di telecomunicazioni di grande valore nel Sud Asia
Visualizza
IOC (HashSha1) per rilevare: UAT-7290 mira all’infrastruttura di telecomunicazioni di grande valore nel Sud Asia
Visualizza
Rilevamento delle AttivitĂ di Malware UAT-7290 [Creazione Processo Linux]
Visualizza
Esecuzione di Simulazione
Prerequisito: Il Controllo Pre-volo di Telemetria & Baseline deve essere stato superato.
Razionale: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnosi errate.
-
Narrativa & Comandi d’Attacco:
-
Esecuzione del Dropper Iniziale (T1480.002):
L’aggressore esegue ilRushDropbinario, che, come parte del suo payload, crea una directory nascosta chiamata.pkgdbnella directory di lavoro corrente../RushDrop --install .pkgdb -
Lancio Componente Privilegiato (T1569):
Il dropper quindi avviaSilentRaidcon un argomentopluginsper caricare moduli malevoli che stabiliscono la persistenza via servizi di sistema.sudo ./SilentRaid --load plugins -
Scoperta di Rete (T1016.001):
Infine, il malware raccoglie informazioni di routing per mappare la rete interna:cat /proc/net/route
Quando questi tre frammenti di linea di comando appaiono insieme (o i primi due insieme and il terzo come alternativa), la condizione della regola Sigma valutata come vera, generando un avviso.
-
-
Script di Test per la Regressione:
#!/usr/bin/env bash # # Script di convalida del rilevamento UAT-7290 # Simula i modelli di linea di comando esatti richiesti dalla regola Sigma. # set -euo pipefail # 1. Crea una directory di lavoro temporanea WORKDIR=$(mktemp -d) cd "$WORKDIR" # 2. Simula il binario RushDrop echo -e '#!/usr/bin/env bashnecho "RushDrop eseguito"' > RushDrop chmod +x RushDrop # 3. Esegui RushDrop con l'argomento .pkgdb (crea la cartella) ./RushDrop --install .pkgdb mkdir -p .pkgdb # imita il comportamento del dropper # 4. Simula il binario SilentRaid echo -e '#!/usr/bin/env bashnecho "SilentRaid ha caricato i plugin"' > SilentRaid chmod +x SilentRaid # 5. Esegui SilentRaid con l'argomento plugins (richiede sudo per realismo) sudo ./SilentRaid --load plugins # 6. Comando di scoperta di rete cat /proc/net/route # 7. Ripulire (opzionale – mantenere per ispezione manuale se necessario) # rm -rf "$WORKDIR" -
Comandi di Pulizia:
# Rimuovi la directory temporanea e qualsiasi artefatto creato durante il test sudo rm -rf "$WORKDIR" # Svuota la coda di auditd per assicurarsi che non rimangano eventi residui sudo auditctl -D # Riavvia auditd per ripristinare le regole predefinite sudo systemctl restart auditd