UAT-7290 visa alvos de alta importância em infraestrutura de telecomunicações na Ásia do Sul
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
UAT-7290 é um grupo de ameaça persistente avançada com ligação à China, avaliado como ativo desde pelo menos 2022. Ele prioriza o acesso inicial a dispositivos de rede de borda e realiza intrusões focadas em espionagem contra provedores de telecomunicações no Sul da Ásia, com atividades mais recentes se estendendo ao Sudeste da Europa. O conjunto de ferramentas do grupo abrange implantes Linux—RushDrop, DriveSwitch, SilentRaid e Bulbature—e cargas úteis do Windows, como RedLeaves e ShadowPad. UAT-7290 também mantém infraestrutura Operational Relay Box (ORB) que pode ser reaproveitada para encaminhar tráfego de outros atores de ameaça.
Investigação
A Cisco Talos analisou amostras relevantes e documentou uma cadeia de infecção em Linux em etapas que começa com o dropper RushDrop criando um diretório oculto .pkgdb. As etapas subsequentes implementam DriveSwitch e depois o principal implante SilentRaid. Esses componentes usam resolução DNS através de resolvedores públicos para alcançar comando e controle e suportar capacidades como execução de comandos, gerenciamento de arquivos e estabelecimento de shell reverso. Bulbature funciona como um nó ORB, ouvindo em portas configuráveis e usando um certificado autoassinado recorrente que a Talos observou em inúmeros sistemas hospedados na China.
Mitigação
Endureça dispositivos de rede de borda eliminando credenciais padrão, restringindo exposição de gerenciamento e corrigindo rapidamente vulnerabilidades conhecidas de um dia. Monitore comportamentos DNS anômalos—especialmente consultas inesperadas roteadas para resolvedores públicos—junto com uso incomum de comandos BusyBox e o aparecimento de binários desconhecidos em diretórios ocultos. Quando aplicável, implante proteções de endpoint e rede capazes de detectar as assinaturas do ClamAV mencionadas e Snort SID 65124, e garanta que alertas estejam conectados aos fluxos de trabalho do SOC.
Resposta
Se for identificada atividade suspeita, isole o dispositivo afetado, capture imagens de memória volátil e disco, e bloqueie imediatamente quaisquer domínios ou endereços IP C2 confirmados. Realize forense direcionado no diretório .pkgdb, artefatos de configuração /tmp, e qualquer evidência de shells reversos gerados. Redefina credenciais comprometidas, rode chaves SSH e valide que nenhum nó ORB permaneça operacional no ambiente.
Fluxo de Ataque
Detecções
Possível Atividade Maliciosa de Busybox (GTFOBin) Gerando Shell do Sistema (via cmdline)
Ver
Sistema Linux Suspeito ou Binário Conhecido Executado a Partir de Caminho Não Usual (via cmdline)
Ver
Arquivo Oculto Foi Criado no Host Linux (via file_event)
Ver
IOCs (HashMd5) para detectar: UAT-7290 visa infraestrutura de telecomunicações de alto valor no Sul da Ásia
Ver
IOCs (HashSha256) para detectar: UAT-7290 visa infraestrutura de telecomunicações de alto valor no Sul da Ásia
Ver
IOCs (HashSha1) para detectar: UAT-7290 visa infraestrutura de telecomunicações de alto valor no Sul da Ásia
Ver
Detecção de Atividades de Malware do UAT-7290 [Criação de Processos no Linux]
Ver
Execução de Simulação
Pré-requisito: A Verificação Pré-lançamento de Telemetria & Linha de Base deve ter sido aprovada.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar exatamente a telemetria esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.
-
Narrativa e Comandos de Ataque:
-
Execução Inicial do Dropper (T1480.002):
O atacante executa oRushDropbinário, que, como parte de sua carga útil, cria um diretório oculto chamado.pkgdbno diretório de trabalho atual../RushDrop --install .pkgdb -
Lançamento de Componente Privilegiado (T1569):
O dropper então iniciaSilentRaidcom um argumentopluginspara carregar módulos maliciosos que estabelecem persistência via serviços do sistema.sudo ./SilentRaid --load plugins -
Descoberta de Rede (T1016.001):
Finalmente, o malware coleta informações de roteamento para mapear a rede interna:cat /proc/net/route
Quando esses três fragmentos de linha de comando aparecem juntos (ou os dois primeiros juntos and o terceiro como alternativa), a condição da regra Sigma avalia como verdadeira, gerando um alerta.
-
-
Script de Teste de Regressão:
#!/usr/bin/env bash # # Script de validação de detecção UAT‑7290 # Simula os padrões de linha de comando exatos requeridos pela regra Sigma. # set -euo pipefail # 1. Criar um diretório de trabalho temporário WORKDIR=$(mktemp -d) cd "$WORKDIR" # 2. Simular binário RushDrop echo -e '#!/usr/bin/env bashnecho "RushDrop executado"' > RushDrop chmod +x RushDrop # 3. Executar RushDrop com o argumento .pkgdb (cria a pasta) ./RushDrop --install .pkgdb mkdir -p .pkgdb # imitar comportamento do dropper # 4. Simular binário SilentRaid echo -e '#!/usr/bin/env bashnecho "SilentRaid carregou plugins"' > SilentRaid chmod +x SilentRaid # 5. Executar SilentRaid com argumento plugins (requer sudo para realismo) sudo ./SilentRaid --load plugins # 6. Comando de descoberta de rede cat /proc/net/route # 7. Limpar (opcional – manter para inspeção manual, se necessário) # rm -rf "$WORKDIR" -
Comandos de Limpeza:
# Remover o diretório temporário e quaisquer artefatos criados durante o teste sudo rm -rf "$WORKDIR" # Limpar a fila do auditd para garantir que não restem eventos residuais sudo auditctl -D # Reiniciar o auditd para restaurar as regras padrão sudo systemctl restart auditd