SOC Prime Bias: 重大

08 Jul 2026 16:21 UTC

UAT-7810が新しいマルウェアを使用してORBネットワークの構築を継続

Author Photo
SOC Prime Team linkedin icon フォローする
UAT-7810が新しいマルウェアを使用してORBネットワークの構築を継続
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

概要

中国関連のAPTグループUAT-7810は、LONGLEASH、DOGLEASH、JARLEASHを含むカスタムマルウェアのツールキットを用いて、LapDogs Operational Relay Boxネットワークを拡大し続けています。アクターは組み込みデバイスとネットワークハードウェアに注目し、後に二次的な脅威アクターが活用できるプロキシインフラストラクチャを構築しています。これらの作戦は、RuckusおよびASUS機器の既知の欠陥の利用に部分的に依存しています。

調査

Cisco TalosはUAT-7810に関連するインフラストラクチャとマルウェアを調査し、既知のツールの更新版と完全に新しいマルウェアファミリー2つを特定しました。分析により、特定のVPSノードとカスタムTLS証明書のフィンガープリントがコマンド・アンド・コントロールトラフィックで使用されていることが判明しました。研究者たちはまた、ASUS AiCloudルーター環境へのORBネットワーク拡張を目指したアクターのインフラストラクチャとの関連性も確認しました。

軽減策

組織は、以下のような既知の問題に対してRuckus無線ルーターのパッチ適用を優先するべきです CVE-2020-22653, CVE-2020-22658、および CVE-2023-25717。また、ASUS AiCloudルーターの保護も重要です CVE-2025-2492 。IoTおよび組み込みデバイスを分離するネットワークセグメンテーションは、それらのシステムがリレーノードとして再利用されるリスクをさらに低減させることができます。

対応

識別されたIPアドレスまたは内部名 ff-agent が検出された場合、インシデントレスポンダーは直ちに影響を受けたネットワーク機器を隔離するべきです。続いて、フォレンジック解析ではLEASHTESTアーティファクトまたは不正なシェルスクリプトをチェックする必要があります。ネットワークテレメトリもLONGLEASHインプラントに関連するChromeユーザーエージェント文字列について確認するべきです。

攻撃フロー

シミュレーション実行

前提条件:テレメトリ&ベースラインの事前チェックが通過していること。

理由:このセクションは検出ルールを引き起こすために設計された敵対者技術(TTP)の正確な実行を詳述しています。コマンドと説明は、特定されたTTPを直接反映し、検出ロジックによって期待される正確なテレメトリを生成することを目的としています。抽象的または無関係な例は誤診を招く可能性があるため避けるべきです。

  • 攻撃の説明とコマンド: 敵対者は、ウェブの脆弱性(CVE-2023-25717の利用)を介してLinuxターゲットへの初期アクセスを成功させました。持続性を保ち、コマンド・アンド・コントロール(C2)を確立するために、彼らは自身のインフラストラクチャから特化したバックドアをダウンロードします。UAT-7810マルウェアファミリーのパターンに従って、攻撃者はドロップされたバイナリに LEASHTEST と命名して潜在的なテストスクリプトに馴染ませますが、この命名法自体がこの特定の脅威アクターのシグネチャです。攻撃者はその後 ./LEASHTEST を実行してリバースシェルを開始し、プロセス名に基づいて検出ルールを引き起こすべきです。

  • 回帰テストスクリプト:

    #!/bin/bash
    # UAT-7810マルウェアプロセス名検出のシミュレーションスクリプト
    
    echo "[+] シミュレーション開始:UAT-7810マルウェアバックドア"
    
    # 1. マルウェアをシミュレートするためのダミーバイナリを作成します
    # 実際のシナリオでは、これが実際の悪意のあるELFファイルになります。
    echo "#!/bin/bash" > LEASHTEST
    echo "echo 'Simulated Malware Payload Executed'" >> LEASHTEST
    
    # 2. ファイルを実行可能にします
    chmod +x LEASHTEST
    
    # 3. 'malware'を実行して検出ルールを引き起こす
    echo "[+] LEASHTESTを実行中..."
    ./LEASHTEST
    
    echo "[+] シミュレーションコマンド完了。"
  • クリーンアップコマンド:

    # シミュレーションアーティファクトのクリーンアップ
    rm -f LEASHTEST
    echo "[+] クリーンアップ完了。"