UAT-7290 mira a infrastrutture di telecomunicazioni ad alto valore in Asia Meridionale
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
UAT-7290 è un gruppo di minaccia persistente avanzato collegato alla Cina, attivo almeno dal 2022. Prioritizza l’accesso iniziale ai dispositivi di rete periferici ed esegue intrusioni focalizzate sull’espionaggio nei confronti di fornitori di telecomunicazioni nel Sud Asia, con attività più recenti estese nel Sudest Europa. Il kit di strumenti del gruppo spazia da impianti Linux — RushDrop, DriveSwitch, SilentRaid e Bulbature — e payload Windows come RedLeaves e ShadowPad. UAT-7290 mantiene anche un’infrastruttura Operational Relay Box (ORB) che può essere riutilizzata per trasmettere traffico per altri attori di minacce.
Indagine
Cisco Talos ha analizzato campioni rilevanti e documentato una catena di infezione Linux a stadi che inizia con il dropper RushDrop che crea una directory nascosta .pkgdb. Gli stadi successivi distribuiscono DriveSwitch e poi l’impianto principale SilentRaid. Questi componenti usano la risoluzione DNS tramite risolutori pubblici per raggiungere il command-and-control e supportare capacità come l’esecuzione di comandi, la gestione dei file e l’instaurazione di reverse shell. Bulbature funge da nodo ORB, ascoltando su porte configurabili e utilizzando un certificato autosottoscritto ricorrente che Talos ha notato su numerosi sistemi ospitati in Cina.
Mitigazione
Rinforza i dispositivi di rete periferici eliminando le credenziali predefinite, limitando l’esposizione alla gestione e applicando rapidamente patch alle vulnerabilità di giorno conosciuti. Monitora comportamenti DNS anomali, specialmente query inaspettate indirizzate a risolutori pubblici, insieme a utilizzi insoliti del comando BusyBox e la presenza di binari sconosciuti all’interno di directory nascoste. Dove applicabile, distribuisci protezioni endpoint e di rete capaci di rilevare le firme referenced ClamAV e Snort SID 65124, e assicurati che l’allerta sia cablata nei flussi di lavoro del SOC.
Risposta
Se viene identificata un’attività sospetta, isola il dispositivo interessato, cattura la memoria volatile e le immagini del disco e blocca immediatamente qualsiasi dominio C2 o indirizzo IP confermato. Effettua forense mirata sulla directory .pkgdb, artefatti di configurazione /tmp e qualsiasi evidenza di reverse shell generate. Resetta le credenziali compromesse, ruota le chiavi SSH e convalida che non rimangano nodi ORB operativi all’interno dell’ambiente.
Flusso di Attacco
Rilevamenti
Possibile Attività Malevola di Busybox (GTFOBin) Che Genera Shell di Sistema (tramite cmdline)
Visualizza
Sistema Linux Sospetto o Binario Conosciuto Eseguito da Percorso Insolito (tramite cmdline)
Visualizza
File Nascosto Creato su Host Linux (tramite file_event)
Visualizza
IOC (HashMd5) per rilevare: UAT-7290 mira all’infrastruttura di telecomunicazioni di grande valore nel Sud Asia
Visualizza
IOC (HashSha256) per rilevare: UAT-7290 mira all’infrastruttura di telecomunicazioni di grande valore nel Sud Asia
Visualizza
IOC (HashSha1) per rilevare: UAT-7290 mira all’infrastruttura di telecomunicazioni di grande valore nel Sud Asia
Visualizza
Rilevamento delle Attività di Malware UAT-7290 [Creazione Processo Linux]
Visualizza
Esecuzione di Simulazione
Prerequisito: Il Controllo Pre-volo di Telemetria & Baseline deve essere stato superato.
Razionale: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnosi errate.
-
Narrativa & Comandi d’Attacco:
-
Esecuzione del Dropper Iniziale (T1480.002):
L’aggressore esegue ilRushDropbinario, che, come parte del suo payload, crea una directory nascosta chiamata.pkgdbnella directory di lavoro corrente../RushDrop --install .pkgdb -
Lancio Componente Privilegiato (T1569):
Il dropper quindi avviaSilentRaidcon un argomentopluginsper caricare moduli malevoli che stabiliscono la persistenza via servizi di sistema.sudo ./SilentRaid --load plugins -
Scoperta di Rete (T1016.001):
Infine, il malware raccoglie informazioni di routing per mappare la rete interna:cat /proc/net/route
Quando questi tre frammenti di linea di comando appaiono insieme (o i primi due insieme and il terzo come alternativa), la condizione della regola Sigma valutata come vera, generando un avviso.
-
-
Script di Test per la Regressione:
#!/usr/bin/env bash # # Script di convalida del rilevamento UAT-7290 # Simula i modelli di linea di comando esatti richiesti dalla regola Sigma. # set -euo pipefail # 1. Crea una directory di lavoro temporanea WORKDIR=$(mktemp -d) cd "$WORKDIR" # 2. Simula il binario RushDrop echo -e '#!/usr/bin/env bashnecho "RushDrop eseguito"' > RushDrop chmod +x RushDrop # 3. Esegui RushDrop con l'argomento .pkgdb (crea la cartella) ./RushDrop --install .pkgdb mkdir -p .pkgdb # imita il comportamento del dropper # 4. Simula il binario SilentRaid echo -e '#!/usr/bin/env bashnecho "SilentRaid ha caricato i plugin"' > SilentRaid chmod +x SilentRaid # 5. Esegui SilentRaid con l'argomento plugins (richiede sudo per realismo) sudo ./SilentRaid --load plugins # 6. Comando di scoperta di rete cat /proc/net/route # 7. Ripulire (opzionale – mantenere per ispezione manuale se necessario) # rm -rf "$WORKDIR" -
Comandi di Pulizia:
# Rimuovi la directory temporanea e qualsiasi artefatto creato durante il test sudo rm -rf "$WORKDIR" # Svuota la coda di auditd per assicurarsi che non rimangano eventi residui sudo auditctl -D # Riavvia auditd per ripristinare le regole predefinite sudo systemctl restart auditd