UAT-7290は南アジアの高価値通信インフラを標的に
Detection stack
- AIDR
- Alert
- ETL
- Query
概要
UAT-7290は、少なくとも2022年から活動しているとされる中国に関連する高度持続的脅威 (APT) グループです。特に南アジアの通信事業者に対するスパイ活動を重視し、後に東南ヨーロッパにも活動を拡大しています。このグループのツールセットは、Linux用のインプラント(RushDrop、DriveSwitch、SilentRaid、Bulbature)とWindowsのペイロード(RedLeavesや ShadowPad)を含んでいます。UAT-7290は、他の脅威アクター向けにトラフィックを中継できるようにリポジトリできるOperational Relay Box (ORB) インフラも維持しています。 and ShadowPad. UAT-7290 also maintains Operational Relay Box (ORB) infrastructure that can be repurposed to relay traffic for other threat actors.
調査
Cisco Talosは関連するサンプルを分析し、RushDropドロッパーが隠しディレクトリ.pkgdbを作成するところから始まる段階的なLinux感染チェーンを記録しました。その後の段階ではDriveSwitchを展開し、主要なインプラントSilentRaidを配備します。これらのコンポーネントは、リモートコマンド実行やファイル管理、リバースシェルの確立などのサポート機能に使用されるDNS解決を公共のリゾルバーを介してコマンドアンドコントロールに到達するために使用します。Bulbatureは構成可能なポートで待機し、多数の中国ホストシステムでTalosが確認した自己署名証明書を使用します。
緩和策
エッジネットワークデバイスを強化するために、初期設定の資格情報を排除し、管理への露出を制限し、既知のワンデイ脆弱性を迅速にパッチすること。また、公共リゾルバーにルーティングされた予期しないクエリや異常なBusyBoxコマンド使用、ステルスディレクトリ内の不明なバイナリ出現を監視すること。該当する場合は、ClamAVシグネチャおよびSnort SID 65124を検出できるエンドポイント及びネットワーク保護を導入し、SOCワークフローにつなげることを確認します。
対応策
疑わしい活動が特定された場合は、影響を受けたデバイスを隔離し、揮発性メモリとディスクイメージをキャプチャし、確認されたC2ドメインまたはIPアドレスを即座にブロックします。 .pkgdbディレクトリや/tmp設定アーティファクト、リバースシェルが生成された痕跡に基づくターゲットフォレンジックを実行します。漏洩した資格情報をリセットし、SSHキーを更新し、環境内で動作するORBノードが残っていないことを確認します。
アタックフロー
検出
可能性のある悪意のあるBusybox (GTFOBin) 活動によって生成されたシステムシェル(cmdline経由)
表示
一般的でないパスから実行されたLinuxシステムまたは既知のバイナリ (cmdline経由)
表示
Linuxホストで隠しファイルが作成されました (file_event経由)
表示
検出対象のIOC (HashMd5): UAT-7290は南アジアの高価値な通信インフラを標的にしています
表示
検出対象のIOC (HashSha256): UAT-7290は南アジアの高価値な通信インフラを標的にしています
表示
検出対象のIOC (HashSha1): UAT-7290は南アジアの高価値な通信インフラを標的にしています
表示
UAT-7290マルウェア活動の検出 [Linuxプロセス作成]
表示
シミュレーション実行
前提条件: テレメトリおよびベースラインプレフライトチェックに合格している必要があります。
理由: このセクションでは、検出ルールを起動するために設計された敵の技術テクニック (TTP) の正確な実行を詳細に説明します。コマンドおよび説明はTTPsを直接反映し、検出ロジックによって予期される正確なテレメトリを生成することを目指します。抽象的または無関係な例は誤診を引き起こします。
-
攻撃の説明とコマンド:
-
初期ドロッパーの実行 (T1480.002):
攻撃者はRushDropバイナリを実行し、そのペイロードの一部として.pkgdbという名前の隠しディレクトリを現在の作業ディレクトリに作成します。./RushDrop --install .pkgdb -
特権コンポーネントの起動(T1569):
次にドロッパーはSilentRaidを起動し、システムサービスを通じての持続性確立するための悪意のあるモジュールをロードするplugins引数を使用します。sudo ./SilentRaid --load plugins -
ネットワーク探索 (T1016.001):
最終的にマルウェアは内部ネットワークのマップを取得するためにルーティング情報を収集します:cat /proc/net/route
これらの3つのコマンドラインフラグメントが一緒に出現するとき(または前の2つが一緒に and 3つ目としての代替)Sigmaルール条件は真を評価し、アラートが生成されます。
-
-
回帰テストスクリプト:
#!/usr/bin/env bash # # UAT-7290検出検証スクリプト # Sigmaルールで必要な正確なコマンドラインパターンをシミュレートします。 # set -euo pipefail # 1. 一時的な作業ディレクトリを作成 WORKDIR=$(mktemp -d) cd "$WORKDIR" # 2. RushDropバイナリをシミュレート echo -e '#!/usr/bin/env bashnecho "RushDrop executed"' > RushDrop chmod +x RushDrop # 3. RushDropを.pkgdb引数で実行(フォルダを作成) ./RushDrop --install .pkgdb mkdir -p .pkgdb # ドロッパーの動作を模倣 # 4. SilentRaidバイナリをシミュレート echo -e '#!/usr/bin/env bashnecho "SilentRaid loaded plugins"' > SilentRaid chmod +x SilentRaid # 5. plugins引数でSilentRaidを実行(リアリズムのためにはsudoが必要) sudo ./SilentRaid --load plugins # 6. ネットワーク探索コマンド cat /proc/net/route # 7. クリーンアップ(オプション - 必要に応じて手動で検査のために保持) # rm -rf "$WORKDIR" -
クリーンアップコマンド:
# テスト中に作成された一時ディレクトリとアーティファクトを削除 sudo rm -rf "$WORKDIR" # auditd キューをフラッシュし、残留イベントがないことを確認 sudo auditctl -D # デフォルトのルールを復元するために auditd を再起動 sudo systemctl restart auditd