UAT-7810 continua a costruire reti ORB utilizzando nuovo malware
Detection stack
- AIDR
- Alert
- ETL
- Query
Riepilogo
Il gruppo APT collegato alla Cina UAT-7810 continua ad espandere la sua rete LapDogs Operational Relay Box con un toolkit di malware personalizzato che include LONGLEASH, DOGLEASH e JARLEASH. L’attore si concentra su dispositivi embedded e hardware di rete per costruire un’infrastruttura proxy che può essere successivamente utilizzata da attori di minacce secondari. Queste operazioni si basano in parte sull’uso di vulnerabilità note in apparecchiature Ruckus e ASUS.
Indagine
Cisco Talos ha esaminato l’infrastruttura e il malware associati a UAT-7810 e ha identificato versioni aggiornate di strumenti precedentemente conosciuti insieme a due nuove famiglie di malware. L’analisi ha rivelato l’uso di nodi VPS specifici e un’impronta digitale di certificato TLS personalizzata per il traffico di comando e controllo. I ricercatori hanno anche collegato l’infrastruttura dell’attore a sforzi mirati ad estendere la rete ORB negli ambienti router ASUS AiCloud.
Mitigazione
Le organizzazioni dovrebbero dare priorità all’aggiornamento dei router wireless Ruckus contro problemi noti come CVE-2020-22653, CVE-2020-22658, e CVE-2023-25717. Mettere in sicurezza i router ASUS AiCloud contro CVE-2025-2492 è anche essenziale. La segmentazione della rete che isola i dispositivi IoT ed embedded può inoltre ridurre il rischio che tali sistemi vengano riposizionati come nodi di inoltro.
Risposta
Se vengono rilevati gli indirizzi IP identificati o il nome interno ff-agent , i responder agli incidenti dovrebbero isolare immediatamente i dispositivi di rete coinvolti. L’analisi forense dovrebbe quindi verificare la presenza di artefatti LEASHTEST o script shell non autorizzati. La telemetria di rete dovrebbe essere anche rivista per la stringa user-agent di Chrome associata all’impiantimento LONGLEASH.
Flusso di Attacco
Esecuzione di Simulazione
Prerequisito: Il controllo preliminare della telemetria e del baseline deve essere superato.
Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttamente i TTP identificati e mirano a generare l’esatta telemetria attesa dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnosi errate.
-
Narrativa e Comandi dell’Attacco: L’avversario ha ottenuto con successo accesso iniziale al bersaglio Linux tramite una vulnerabilità web (sfruttando CVE-2023-25717). Per stabilire persistenza e comando e controllo (C2), scaricano una backdoor specializzata dalla loro infrastruttura. Seguendo i modelli della famiglia malware UAT-7810, l’attaccante nomina il binario rilasciato
LEASHTESTper confondersi con potenziali script di test, ma la convenzione di denominazione stessa è una firma di questo attore di minacce specifico. L’attaccante esegue quindi./LEASHTESTper iniziare una shell inversa, che dovrebbe attivare la regola di rilevamento basata sul nome del processo. -
Script di Test di Regressione:
#!/bin/bash # Script di simulazione per il rilevamento del nome del processo malware UAT-7810 echo "[+] Inizio Simulazione: Backdoor Malware UAT-7810" # 1. Crea un binario fittizio per simulare il malware # In uno scenario reale, questo sarebbe il vero file ELF malevolo. echo "#!/bin/bash" > LEASHTEST echo "echo 'Carico utile del malware simulato eseguito'" >> LEASHTEST # 2. Rendi eseguibile il file chmod +x LEASHTEST # 3. Esegui il 'malware' per attivare la regola di rilevamento echo "[+] Esecuzione di LEASHTEST..." ./LEASHTEST echo "[+] Comando di Simulazione Completato." -
Comandi di Pulizia:
# Ripulire gli artefatti della simulazione rm -f LEASHTEST echo "[+] Pulizia completata."