UAT-7290 націлюється на високовартісну телекомунікаційну інфраструктуру в Південній Азії
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
UAT-7290 є групою постійних загроз, пов’язаних з Китаєм, що діє принаймні з 2022 року. Вона надає пріоритетний доступ до початкових точок виходу у мережу та здійснює шпигунські вторгнення проти телекомунікаційних провайдерів у Південній Азії, з нещодавніми активностями, що поширюються на Південно-Східну Європу. Інструменти групи включають імпланти для Linux — RushDrop, DriveSwitch, SilentRaid, і Bulbature — та віконні навантаження, такі як RedLeaves і ShadowPad. UAT-7290 також підтримує інфраструктуру Operational Relay Box (ORB), яка може бути використана для передачі трафіку для інших кіберзагроз.
Розслідування
Cisco Talos проаналізували відповідні зразки і задокументували пошарову інфекційну ланцюг_linux, що починається з зворотнього скидання RushDrop, який створює приховану директорію .pkgdb. Наступні етапи розгортають DriveSwitch, а потім основний імплант SilentRaid. Ці компоненти використовують DNS-розв’язання через публічні резолвери для досягнення команди і контролю та підтримки можливостей виконання команд, управління файлами та встановлення зворотних оболонок. Bulbature функціонує як вузол ORB, слухаючи на конфігурованих портах і використовуючи періодично самопідписаний сертифікат, який Talos відзначила на численних китайських хостованих системах.
Послаблення
Зміцнюйте пристрої мережного краю, усуваючи стандартні облікові дані, обмежуючи експозицію керування та швидко виправляючи відомі уразливості одного дня. Моніторьте аномальну поведінку DNS, особливо неочікувані запити, спрямовані на публічні резолвери, а також незвичайне використання команд BusyBox і появу незнайомих файлів у прихованих директоріях. Якщо можливо, розгорніть захист кінцевих точок і мереж, які здатні виявляти наведені підписи ClamAV і Snort SID 65124, і гарантуйте, щоб попередження були підключені до робочих процесів SOC.
Реагування
Якщо виявлена підозріла активність, відокремте уражений пристрій, захопіть образи енергонезалежної пам’яті та диска та відразу блокуйте будь-які підтверджені C2-домени або IP-адреси. Проведення цільової судової експертизи на літературу .pkgdb, артефакти конфігурації /tmp та будь-які докази з’явлення зворотних оболонок. Скидання компрометованих облікових даних, ротація ключів SSH та перевірка, що жодні вузли ORB не залишилися працюючими всередині середовища.
Потік атаки
Виявлення
Можлива Злочинна Активність Busybox (GTFOBin) з Викликанням Системної Оболонки (через cmdline)
Перегляд
Підозріла Система Linux або Відомий Бінарний Виконується з Незвичайного Шляху (через cmdline)
Перегляд
Прихований Файл Створено на Хості Linux (через file_event)
Перегляд
IOCs (HashMd5) для виявлення: UAT-7290 націлює високозначущу телекомунікаційну інфраструктуру в Південній Азії
Перегляд
IOCs (HashSha256) для виявлення: UAT-7290 націлює високозначущу телекомунікаційну інфраструктуру в Південній Азії
Перегляд
IOCs (HashSha1) для виявлення: UAT-7290 націлює високозначущу телекомунікаційну інфраструктуру в Південній Азії
Перегляд
Виявлення Діяльності Зловмисного ПЗ UAT-7290 [Створення Процесу Linux]
Перегляд
Виконання Симуляції
Необхідні умови: Телеметрія і Базова Перевірка Перед Початком повинна бути успішною.
Обгрунтування: Цей розділ детально описує точне виконання техніки противника (TTP), розробленої для тригера детекційного правила. Команди й оповідання МАЮТЬ безпосередньо відображати ідентифіковані TTPs і мають на меті генерувати саме ту телеметрію, яку очікує логіка виявлення. Абстрактні або незв’язані приклади призведуть до неправильної діагностики.
-
Оповідання і Команди Атаки:
-
Початкове Виконання Дропера (T1480.002):
Атакуючий виконуєRushDropбінарний файл, який, як частину свого навантаження, створює приховану директорію з назвою.pkgdbу поточній робочій директорії../RushDrop --install .pkgdb -
Запуск Привілейованого Компоненту (T1569):
Тоді дропер запускаєSilentRaidз аргументомpluginsщоб завантажити шкідливі модулі, які встановлюють стійкість через системні служби.sudo ./SilentRaid --load plugins -
Виявлення Мережі (T1016.001):
Нарешті, зловмисне ПЗ збирає інформацію маршрутизації для відображення внутрішньої мережі:cat /proc/net/route
Коли ці три фрагменти командного рядка з’являються разом (або перші два разом and третій як альтернатива), умова правила Sigma оцінюється як істинна, генеруючи сповіщення.
-
-
Скрипт Регресійного Тесту:
#!/usr/bin/env bash # # Скрипт перевірки виявлення UAT-7290 # Імітує точні шаблони командного рядка, необхідні по правилу Sigma. # set -euo pipefail # 1. Створити тимчасову робочу директорію WORKDIR=$(mktemp -d) cd "$WORKDIR" # 2. Імітувати RushDrop бінарний файл echo -e '#!/usr/bin/env bashnecho "Виконано RushDrop"' > RushDrop chmod +x RushDrop # 3. Виконати RushDrop з аргументом .pkgdb (створює папку) ./RushDrop --install .pkgdb mkdir -p .pkgdb # імітація поведінки дропера # 4. Імітувати бінарний файл SilentRaid echo -e '#!/usr/bin/env bashnecho "SilentRaid завантажив плагіни"' > SilentRaid chmod +x SilentRaid # 5. Виконати SilentRaid з аргументом plugins (вимагає sudo для реалізму) sudo ./SilentRaid --load plugins # 6. Команда виявлення мережі cat /proc/net/route # 7. Очистити (опціонально - зберегти для мануального огляду, якщо потрібно) # rm -rf "$WORKDIR" -
Команди очищення:
# Видалити тимчасовий каталог і будь-які артефакти, створені під час тесту sudo rm -rf "$WORKDIR" # Очистити чергу auditd щоб переконатися, що залишкові події не залишилися sudo auditctl -D # Перезапустіть auditd щоб відновити правила за замовчуванням sudo systemctl restart auditd