SOC Prime Bias: クリティカル

12 1月 2026 18:32
newspaper icon Cisco Talos ブログ

UAT-7290は南アジアの高価値通信インフラを標的に

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon フォローする
UAT-7290は南アジアの高価値通信インフラを標的に
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


概要

UAT-7290は、少なくとも2022年から活動しているとされる中国に関連する高度持続的脅威 (APT) グループです。特に南アジアの通信事業者に対するスパイ活動を重視し、後に東南ヨーロッパにも活動を拡大しています。このグループのツールセットは、Linux用のインプラント(RushDrop、DriveSwitch、SilentRaid、Bulbature)とWindowsのペイロード(RedLeavesや ShadowPad)を含んでいます。UAT-7290は、他の脅威アクター向けにトラフィックを中継できるようにリポジトリできるOperational Relay Box (ORB) インフラも維持しています。 and ShadowPad. UAT-7290 also maintains Operational Relay Box (ORB) infrastructure that can be repurposed to relay traffic for other threat actors.

調査

Cisco Talosは関連するサンプルを分析し、RushDropドロッパーが隠しディレクトリ.pkgdbを作成するところから始まる段階的なLinux感染チェーンを記録しました。その後の段階ではDriveSwitchを展開し、主要なインプラントSilentRaidを配備します。これらのコンポーネントは、リモートコマンド実行やファイル管理、リバースシェルの確立などのサポート機能に使用されるDNS解決を公共のリゾルバーを介してコマンドアンドコントロールに到達するために使用します。Bulbatureは構成可能なポートで待機し、多数の中国ホストシステムでTalosが確認した自己署名証明書を使用します。

緩和策

エッジネットワークデバイスを強化するために、初期設定の資格情報を排除し、管理への露出を制限し、既知のワンデイ脆弱性を迅速にパッチすること。また、公共リゾルバーにルーティングされた予期しないクエリや異常なBusyBoxコマンド使用、ステルスディレクトリ内の不明なバイナリ出現を監視すること。該当する場合は、ClamAVシグネチャおよびSnort SID 65124を検出できるエンドポイント及びネットワーク保護を導入し、SOCワークフローにつなげることを確認します。

対応策

疑わしい活動が特定された場合は、影響を受けたデバイスを隔離し、揮発性メモリとディスクイメージをキャプチャし、確認されたC2ドメインまたはIPアドレスを即座にブロックします。 .pkgdbディレクトリや/tmp設定アーティファクト、リバースシェルが生成された痕跡に基づくターゲットフォレンジックを実行します。漏洩した資格情報をリセットし、SSHキーを更新し、環境内で動作するORBノードが残っていないことを確認します。

“graph TB %% クラス定義 classDef action fill:#99ccff classDef tool fill:#ffe699 classDef malware fill:#ffcccc classDef operator fill:#ff9900 %% 偵察フェーズ phase_recon[“<b>フェーズ</b> – 偵察”] class phase_recon action tech_active_scanning[“<b>技術</b> – T1595 アクティブスキャニング<br><b>詳細</b>: ターゲットインフラストラクチャのサービス、バージョン、および構成を特定します。”] class tech_active_scanning action tech_search_closed_sources[“<b>技術</b> – T1597.001 クローズドソースの検索<br><b>詳細</b>: ベンダーレポートおよびその他の非公開ソースから情報を収集します。”] class tech_search_closed_sources action %% 初期アクセスフェーズ phase_initial[“<b>フェーズ</b> – 初期アクセス”] class phase_initial action tech_exploit_public_facing[“<b>技術</b> – T1190 公開されているアプリケーションのエクスプロイト<br><b>詳細</b>: インターネットに公開されているデバイスの脆弱性を利用して足場を固めます。”] class tech_exploit_public_facing action tech_ssh_remote[“<b>技術</b> – T1021.004 リモートサービス (SSH)<br><b>詳細</b>: SSH を介してターゲットデバイスにアクセスします。”] class tech_ssh_remote action tech_ssh_hijack[“<b>技術</b> – T1563.001 リモートサービスセッションのハイジャック<br><b>詳細</b>: 認証を回避するために既存の SSH セッションをハイジャックします。”] class tech_ssh_hijack action tool_bruteforce[“<b>ツール</b> – 名前: SSH ブルートフォーススクリプト<br/><b>詳細</b>: SSH サービスで資格情報の推測を試みます。”] class tool_bruteforce tool %% 実行 & 防御回避フェーズ phase_exec[“<b>フェーズ</b> – 実行 & 防御回避”] class phase_exec action tech_vm_evasion[“<b>技術</b> – T1497 仮想化/サンドボックスの回避<br><b>詳細</b>: 解析環境を検出し、動作を変更します。”] class tech_vm_evasion action tech_unix_shell[“<b>技術</b> – T1059.004 コマンドおよびスクリプトインタープリター: Unix シェル<br><b>詳細</b>: /bin/sh または busybox を介してコマンドを実行します。”] class tech_unix_shell action tech_obfuscation[“<b>技術</b> – T1027 難読化されたファイルまたは情報<br><b>詳細</b>: 悪意あるコードを隠すためにパッキングまたはエンコードを使用します。”] class tech_obfuscation action tech_data_obfuscation[“<b>技術</b> – T1001 データの難読化<br><b>詳細</b>: 検出を回避するためにデータを変更します。”] class tech_data_obfuscation action tech_masquerade[“<b>技術</b> – T1036.008 ファイルタイプの偽装<br><b>詳細</b>: バイナリをリネームして合法的なファイルのように見せかけます。”] class tech_masquerade action malware_rushdrop[“<b>マルウェア</b> – 名前: RushDrop<br/><b>詳細</b>: エクスプロイト後に届けられるペイロードで、UPX で圧縮されています。”] class malware_rushdrop malware malware_driveswitch[“<b>マルウェア</b> – 名前: DriveSwitch<br/><b>詳細</b>: コマンド実行のために busybox を使用します。”] class malware_driveswitch malware %% 特権エスカレーションフェーズ phase_priv_esc[“<b>フェーズ</b> – 特権エスカレーション”] class phase_priv_esc action tech_exploit_priv[“<b>技術</b> – T1068 特権エスカレーションのためのエクスプロイト<br><b>詳細</b>: より高い権限を得るために脆弱なコンポーネントをレバレッジします。”] class tech_exploit_priv action tech_abuse_elevation[“<b>技術</b> – T1548 権限昇格制御メカニズムの悪用<br><b>詳細</b>: 昇格した権限を付与するメカニズムを操作します。”] class tech_abuse_elevation action %% 資格情報アクセス & ディスカバリーフェーズ phase_cred_disc[“<b>フェーズ</b> – 資格情報アクセス & ディスカバリー”] class phase_cred_disc action tech_credential_dump[“<b>技術</b> – T1003.008 OS 資格情報ダンピング<br><b>詳細</b>: /etc/passwd および /etc/shadow を読んでパスワードを取得します。”] class tech_credential_dump action tech_system_info[“<b>技術</b> – T1082 システム情報のディスカバリー<br><b>詳細</b>: ホスト名、OS バージョン、およびハードウェアの詳細を収集します。”] class tech_system_info action tech_software_collect[“<b>技術</b> – T1592.002 被害者ホスト情報の収集: ソフトウェア<br><b>詳細</b>: インストールされたソフトウェアパッケージを列挙します。”] class tech_software_collect action tech_hardware_collect[“<b>技術</b> – T1592.001 被害者ホスト情報の収集: ハードウェア<br><b>詳細</b>: CPU、メモリ、およびデバイスデータを取得します。”] class tech_hardware_collect action %% ラテラル移動フェーズ phase_lateral[“<b>フェーズ</b> – ラテラル移動”] class phase_lateral action tech_internal_proxy[“<b>技術</b> – T1090.001 プロキシ: 内部プロキシ<br><b>詳細</b>: 侵害された内部ホストを通じてトラフィックを中継します。”] class tech_internal_proxy action tech_external_proxy[“<b>技術</b> – T1090.002 プロキシ: 外部プロキシ<br><b>詳細</b>: 元を隠すために外部プロキシサービスを利用します。”] class tech_external_proxy action tech_protocol_tunnel[“<b>技術</b> – T1572 プロトコルトンネリング<br><b>詳細</b>: 許可されたプロトコル内でトラフィックをカプセル化します。”] class tech_protocol_tunnel action tech_nonstandard_port[“<b>技術</b> – T1571 標準外ポート<br><b>詳細</b>: 検出を回避するために珍しいポートを介して通信します。”] class tech_nonstandard_port action %% コマンド & コントロールフェーズ phase_c2[“<b>フェーズ</b> – コマンド & コントロール”] class phase_c2 action tech_dead_drop[“<b>技術</b> – T1102.001 Web サービス: デッド ドロップ リゾルバー<br><b>詳細</b>: 公開された DNS クエリを介して C2 ドメインを解決します。”] class tech_dead_drop action tech_one_way[“<b>技術</b> – T1102.003 Web サービス: 一方向通信<br><b>詳細</b>: 応答を受け取らずに DNS 経由で C2 にデータを送信します。”] class tech_one_way action tech_data_encoding[“<b>技術</b> – T1132 データエンコーディング<br><b>詳細</b>: 送信前にコマンド結果をエンコードします。”] class tech_data_encoding action %% 接続 phase_recon u002du002d>|uses| tech_active_scanning phase_recon u002du002d>|uses| tech_search_closed_sources phase_initial u002du002d>|leverages| tech_exploit_public_facing phase_initial u002du002d>|leverages| tech_ssh_remote phase_initial u002du002d>|leverages| tech_ssh_hijack phase_initial u002du002d>|uses| tool_bruteforce phase_exec u002du002d>|employs| tech_vm_evasion phase_exec u002du002d>|executes| tech_unix_shell phase_exec u002du002d>|applies| tech_obfuscation phase_exec u002du002d>|applies| tech_data_obfuscation phase_exec u002du002d>|applies| tech_masquerade phase_exec u002du002d>|delivers| malware_rushdrop phase_exec u002du002d>|delivers| malware_driveswitch phase_priv_esc u002du002d>|uses| tech_exploit_priv phase_priv_esc u002du002d>|uses| tech_abuse_elevation phase_cred_disc u002du002d>|performs| tech_credential_dump phase_cred_disc u002du002d>|performs| tech_system_info phase_cred_disc u002du002d>|performs| tech_software_collect phase_cred_disc u002du002d>|performs| tech_hardware_collect phase_lateral u002du002d>|establishes| tech_internal_proxy phase_lateral u002du002d>|establishes| tech_external_proxy phase_lateral u002du002d>|utilizes| tech_protocol_tunnel phase_lateral u002du002d>|utilizes| tech_nonstandard_port phase_c2 u002du002d>|resolves| tech_dead_drop phase_c2 u002du002d>|transmits| tech_one_way phase_c2 u002du002d>|encodes| tech_data_encoding “

アタックフロー

シミュレーション実行

前提条件: テレメトリおよびベースラインプレフライトチェックに合格している必要があります。

理由: このセクションでは、検出ルールを起動するために設計された敵の技術テクニック (TTP) の正確な実行を詳細に説明します。コマンドおよび説明はTTPsを直接反映し、検出ロジックによって予期される正確なテレメトリを生成することを目指します。抽象的または無関係な例は誤診を引き起こします。

  • 攻撃の説明とコマンド:

    1. 初期ドロッパーの実行 (T1480.002):
      攻撃者は RushDrop バイナリを実行し、そのペイロードの一部として .pkgdb という名前の隠しディレクトリを現在の作業ディレクトリに作成します。

      ./RushDrop --install .pkgdb

    2. 特権コンポーネントの起動(T1569):
      次にドロッパーは SilentRaid を起動し、システムサービスを通じての持続性確立するための悪意のあるモジュールをロードする plugins 引数を使用します。

      sudo ./SilentRaid --load plugins

    3. ネットワーク探索 (T1016.001):
      最終的にマルウェアは内部ネットワークのマップを取得するためにルーティング情報を収集します:

      cat /proc/net/route

    これらの3つのコマンドラインフラグメントが一緒に出現するとき(または前の2つが一緒に and 3つ目としての代替)Sigmaルール条件は真を評価し、アラートが生成されます。

  • 回帰テストスクリプト:

    #!/usr/bin/env bash
#
# UAT-7290検出検証スクリプト
# Sigmaルールで必要な正確なコマンドラインパターンをシミュレートします。
#
set -euo pipefail

# 1. 一時的な作業ディレクトリを作成
WORKDIR=$(mktemp -d)
cd "$WORKDIR"

# 2. RushDropバイナリをシミュレート
echo -e '#!/usr/bin/env bashnecho "RushDrop executed"' > RushDrop
chmod +x RushDrop

# 3. RushDropを.pkgdb引数で実行(フォルダを作成)
./RushDrop --install .pkgdb
mkdir -p .pkgdb   # ドロッパーの動作を模倣

# 4. SilentRaidバイナリをシミュレート
echo -e '#!/usr/bin/env bashnecho "SilentRaid loaded plugins"' > SilentRaid
chmod +x SilentRaid

# 5. plugins引数でSilentRaidを実行(リアリズムのためにはsudoが必要)
sudo ./SilentRaid --load plugins

# 6. ネットワーク探索コマンド
cat /proc/net/route

# 7. クリーンアップ(オプション - 必要に応じて手動で検査のために保持)
# rm -rf "$WORKDIR"

  • クリーンアップコマンド:

    # テスト中に作成された一時ディレクトリとアーティファクトを削除
sudo rm -rf "$WORKDIR"
# auditd キューをフラッシュし、残留イベントがないことを確認
sudo auditctl -D
# デフォルトのルールを復元するために auditd を再起動
sudo systemctl restart auditd

SOC PrimeのDetection as Codeプラットフォームに参加し ビジネスに最も関連性のある脅威に対する可視性を向上させましょう。開始して即座に価値をもたらすためには、今すぐSOC Primeの専門家とのミーティングを予約してください。

無料で参加