SOC Prime Bias: Critico

12 Jan 2026 15:32 UTC

UAT-7290 mira a infrastrutture di telecomunicazioni ad alto valore in Asia Meridionale

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Segui
UAT-7290 mira a infrastrutture di telecomunicazioni ad alto valore in Asia Meridionale
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Sommario

UAT-7290 è un gruppo di minaccia persistente avanzato collegato alla Cina, attivo almeno dal 2022. Prioritizza l’accesso iniziale ai dispositivi di rete periferici ed esegue intrusioni focalizzate sull’espionaggio nei confronti di fornitori di telecomunicazioni nel Sud Asia, con attività più recenti estese nel Sudest Europa. Il kit di strumenti del gruppo spazia da impianti Linux — RushDrop, DriveSwitch, SilentRaid e Bulbature — e payload Windows come RedLeaves e ShadowPad. UAT-7290 mantiene anche un’infrastruttura Operational Relay Box (ORB) che può essere riutilizzata per trasmettere traffico per altri attori di minacce.

Indagine

Cisco Talos ha analizzato campioni rilevanti e documentato una catena di infezione Linux a stadi che inizia con il dropper RushDrop che crea una directory nascosta .pkgdb. Gli stadi successivi distribuiscono DriveSwitch e poi l’impianto principale SilentRaid. Questi componenti usano la risoluzione DNS tramite risolutori pubblici per raggiungere il command-and-control e supportare capacità come l’esecuzione di comandi, la gestione dei file e l’instaurazione di reverse shell. Bulbature funge da nodo ORB, ascoltando su porte configurabili e utilizzando un certificato autosottoscritto ricorrente che Talos ha notato su numerosi sistemi ospitati in Cina.

Mitigazione

Rinforza i dispositivi di rete periferici eliminando le credenziali predefinite, limitando l’esposizione alla gestione e applicando rapidamente patch alle vulnerabilità di giorno conosciuti. Monitora comportamenti DNS anomali, specialmente query inaspettate indirizzate a risolutori pubblici, insieme a utilizzi insoliti del comando BusyBox e la presenza di binari sconosciuti all’interno di directory nascoste. Dove applicabile, distribuisci protezioni endpoint e di rete capaci di rilevare le firme referenced ClamAV e Snort SID 65124, e assicurati che l’allerta sia cablata nei flussi di lavoro del SOC.

Risposta

Se viene identificata un’attività sospetta, isola il dispositivo interessato, cattura la memoria volatile e le immagini del disco e blocca immediatamente qualsiasi dominio C2 o indirizzo IP confermato. Effettua forense mirata sulla directory .pkgdb, artefatti di configurazione /tmp e qualsiasi evidenza di reverse shell generate. Resetta le credenziali compromesse, ruota le chiavi SSH e convalida che non rimangano nodi ORB operativi all’interno dell’ambiente.

Flusso di Attacco

Esecuzione di Simulazione

Prerequisito: Il Controllo Pre-volo di Telemetria & Baseline deve essere stato superato.

Razionale: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta prevista dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnosi errate.

  • Narrativa & Comandi d’Attacco:

    1. Esecuzione del Dropper Iniziale (T1480.002):
      L’aggressore esegue il RushDrop binario, che, come parte del suo payload, crea una directory nascosta chiamata .pkgdb nella directory di lavoro corrente.

      ./RushDrop --install .pkgdb
    2. Lancio Componente Privilegiato (T1569):
      Il dropper quindi avvia SilentRaid con un argomento plugins per caricare moduli malevoli che stabiliscono la persistenza via servizi di sistema.

      sudo ./SilentRaid --load plugins
    3. Scoperta di Rete (T1016.001):
      Infine, il malware raccoglie informazioni di routing per mappare la rete interna:

      cat /proc/net/route

    Quando questi tre frammenti di linea di comando appaiono insieme (o i primi due insieme and il terzo come alternativa), la condizione della regola Sigma valutata come vera, generando un avviso.

  • Script di Test per la Regressione:

    #!/usr/bin/env bash
    #
    # Script di convalida del rilevamento UAT-7290
    # Simula i modelli di linea di comando esatti richiesti dalla regola Sigma.
    #
    set -euo pipefail
    
    # 1. Crea una directory di lavoro temporanea
    WORKDIR=$(mktemp -d)
    cd "$WORKDIR"
    
    # 2. Simula il binario RushDrop
    echo -e '#!/usr/bin/env bashnecho "RushDrop eseguito"' > RushDrop
    chmod +x RushDrop
    
    # 3. Esegui RushDrop con l'argomento .pkgdb (crea la cartella)
    ./RushDrop --install .pkgdb
    mkdir -p .pkgdb   # imita il comportamento del dropper
    
    # 4. Simula il binario SilentRaid
    echo -e '#!/usr/bin/env bashnecho "SilentRaid ha caricato i plugin"' > SilentRaid
    chmod +x SilentRaid
    
    # 5. Esegui SilentRaid con l'argomento plugins (richiede sudo per realismo)
    sudo ./SilentRaid --load plugins
    
    # 6. Comando di scoperta di rete
    cat /proc/net/route
    
    # 7. Ripulire (opzionale – mantenere per ispezione manuale se necessario)
    # rm -rf "$WORKDIR"
  • Comandi di Pulizia:

    # Rimuovi la directory temporanea e qualsiasi artefatto creato durante il test
    sudo rm -rf "$WORKDIR"
    # Svuota la coda di auditd per assicurarsi che non rimangano eventi residui
    sudo auditctl -D
    # Riavvia auditd per ripristinare le regole predefinite
    sudo systemctl restart auditd