SOC Prime Bias: Crítico

12 Jan 2026 15:32 UTC

UAT-7290 visa alvos de alta importância em infraestrutura de telecomunicações na Ásia do Sul

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
UAT-7290 visa alvos de alta importância em infraestrutura de telecomunicações na Ásia do Sul
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

UAT-7290 é um grupo de ameaça persistente avançada com ligação à China, avaliado como ativo desde pelo menos 2022. Ele prioriza o acesso inicial a dispositivos de rede de borda e realiza intrusões focadas em espionagem contra provedores de telecomunicações no Sul da Ásia, com atividades mais recentes se estendendo ao Sudeste da Europa. O conjunto de ferramentas do grupo abrange implantes Linux—RushDrop, DriveSwitch, SilentRaid e Bulbature—e cargas úteis do Windows, como RedLeaves e ShadowPad. UAT-7290 também mantém infraestrutura Operational Relay Box (ORB) que pode ser reaproveitada para encaminhar tráfego de outros atores de ameaça.

Investigação

A Cisco Talos analisou amostras relevantes e documentou uma cadeia de infecção em Linux em etapas que começa com o dropper RushDrop criando um diretório oculto .pkgdb. As etapas subsequentes implementam DriveSwitch e depois o principal implante SilentRaid. Esses componentes usam resolução DNS através de resolvedores públicos para alcançar comando e controle e suportar capacidades como execução de comandos, gerenciamento de arquivos e estabelecimento de shell reverso. Bulbature funciona como um nó ORB, ouvindo em portas configuráveis e usando um certificado autoassinado recorrente que a Talos observou em inúmeros sistemas hospedados na China.

Mitigação

Endureça dispositivos de rede de borda eliminando credenciais padrão, restringindo exposição de gerenciamento e corrigindo rapidamente vulnerabilidades conhecidas de um dia. Monitore comportamentos DNS anômalos—especialmente consultas inesperadas roteadas para resolvedores públicos—junto com uso incomum de comandos BusyBox e o aparecimento de binários desconhecidos em diretórios ocultos. Quando aplicável, implante proteções de endpoint e rede capazes de detectar as assinaturas do ClamAV mencionadas e Snort SID 65124, e garanta que alertas estejam conectados aos fluxos de trabalho do SOC.

Resposta

Se for identificada atividade suspeita, isole o dispositivo afetado, capture imagens de memória volátil e disco, e bloqueie imediatamente quaisquer domínios ou endereços IP C2 confirmados. Realize forense direcionado no diretório .pkgdb, artefatos de configuração /tmp, e qualquer evidência de shells reversos gerados. Redefina credenciais comprometidas, rode chaves SSH e valide que nenhum nó ORB permaneça operacional no ambiente.

Fluxo de Ataque

Execução de Simulação

Pré-requisito: A Verificação Pré-lançamento de Telemetria & Linha de Base deve ter sido aprovada.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar exatamente a telemetria esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.

  • Narrativa e Comandos de Ataque:

    1. Execução Inicial do Dropper (T1480.002):
      O atacante executa o RushDrop binário, que, como parte de sua carga útil, cria um diretório oculto chamado .pkgdb no diretório de trabalho atual.

      ./RushDrop --install .pkgdb
    2. Lançamento de Componente Privilegiado (T1569):
      O dropper então inicia SilentRaid com um argumento plugins para carregar módulos maliciosos que estabelecem persistência via serviços do sistema.

      sudo ./SilentRaid --load plugins
    3. Descoberta de Rede (T1016.001):
      Finalmente, o malware coleta informações de roteamento para mapear a rede interna:

      cat /proc/net/route

    Quando esses três fragmentos de linha de comando aparecem juntos (ou os dois primeiros juntos and o terceiro como alternativa), a condição da regra Sigma avalia como verdadeira, gerando um alerta.

  • Script de Teste de Regressão:

    #!/usr/bin/env bash
    #
    # Script de validação de detecção UAT‑7290
    # Simula os padrões de linha de comando exatos requeridos pela regra Sigma.
    #
    set -euo pipefail
    
    # 1. Criar um diretório de trabalho temporário
    WORKDIR=$(mktemp -d)
    cd "$WORKDIR"
    
    # 2. Simular binário RushDrop
    echo -e '#!/usr/bin/env bashnecho "RushDrop executado"' > RushDrop
    chmod +x RushDrop
    
    # 3. Executar RushDrop com o argumento .pkgdb (cria a pasta)
    ./RushDrop --install .pkgdb
    mkdir -p .pkgdb   # imitar comportamento do dropper
    
    # 4. Simular binário SilentRaid
    echo -e '#!/usr/bin/env bashnecho "SilentRaid carregou plugins"' > SilentRaid
    chmod +x SilentRaid
    
    # 5. Executar SilentRaid com argumento plugins (requer sudo para realismo)
    sudo ./SilentRaid --load plugins
    
    # 6. Comando de descoberta de rede
    cat /proc/net/route
    
    # 7. Limpar (opcional – manter para inspeção manual, se necessário)
    # rm -rf "$WORKDIR"
  • Comandos de Limpeza:

    # Remover o diretório temporário e quaisquer artefatos criados durante o teste
    sudo rm -rf "$WORKDIR"
    # Limpar a fila do auditd para garantir que não restem eventos residuais
    sudo auditctl -D
    # Reiniciar o auditd para restaurar as regras padrão
    sudo systemctl restart auditd