SOC Prime Bias: Критичний

12 Jan 2026 15:32 UTC

UAT-7290 націлюється на високовартісну телекомунікаційну інфраструктуру в Південній Азії

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Стежити
UAT-7290 націлюється на високовартісну телекомунікаційну інфраструктуру в Південній Азії
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

UAT-7290 є групою постійних загроз, пов’язаних з Китаєм, що діє принаймні з 2022 року. Вона надає пріоритетний доступ до початкових точок виходу у мережу та здійснює шпигунські вторгнення проти телекомунікаційних провайдерів у Південній Азії, з нещодавніми активностями, що поширюються на Південно-Східну Європу. Інструменти групи включають імпланти для Linux — RushDrop, DriveSwitch, SilentRaid, і Bulbature — та віконні навантаження, такі як RedLeaves і ShadowPad. UAT-7290 також підтримує інфраструктуру Operational Relay Box (ORB), яка може бути використана для передачі трафіку для інших кіберзагроз.

Розслідування

Cisco Talos проаналізували відповідні зразки і задокументували пошарову інфекційну ланцюг_linux, що починається з зворотнього скидання RushDrop, який створює приховану директорію .pkgdb. Наступні етапи розгортають DriveSwitch, а потім основний імплант SilentRaid. Ці компоненти використовують DNS-розв’язання через публічні резолвери для досягнення команди і контролю та підтримки можливостей виконання команд, управління файлами та встановлення зворотних оболонок. Bulbature функціонує як вузол ORB, слухаючи на конфігурованих портах і використовуючи періодично самопідписаний сертифікат, який Talos відзначила на численних китайських хостованих системах.

Послаблення

Зміцнюйте пристрої мережного краю, усуваючи стандартні облікові дані, обмежуючи експозицію керування та швидко виправляючи відомі уразливості одного дня. Моніторьте аномальну поведінку DNS, особливо неочікувані запити, спрямовані на публічні резолвери, а також незвичайне використання команд BusyBox і появу незнайомих файлів у прихованих директоріях. Якщо можливо, розгорніть захист кінцевих точок і мереж, які здатні виявляти наведені підписи ClamAV і Snort SID 65124, і гарантуйте, щоб попередження були підключені до робочих процесів SOC.

Реагування

Якщо виявлена підозріла активність, відокремте уражений пристрій, захопіть образи енергонезалежної пам’яті та диска та відразу блокуйте будь-які підтверджені C2-домени або IP-адреси. Проведення цільової судової експертизи на літературу .pkgdb, артефакти конфігурації /tmp та будь-які докази з’явлення зворотних оболонок. Скидання компрометованих облікових даних, ротація ключів SSH та перевірка, що жодні вузли ORB не залишилися працюючими всередині середовища.

Потік атаки

Виявлення

Виконання Симуляції

Необхідні умови: Телеметрія і Базова Перевірка Перед Початком повинна бути успішною.

Обгрунтування: Цей розділ детально описує точне виконання техніки противника (TTP), розробленої для тригера детекційного правила. Команди й оповідання МАЮТЬ безпосередньо відображати ідентифіковані TTPs і мають на меті генерувати саме ту телеметрію, яку очікує логіка виявлення. Абстрактні або незв’язані приклади призведуть до неправильної діагностики.

  • Оповідання і Команди Атаки:

    1. Початкове Виконання Дропера (T1480.002):
      Атакуючий виконує RushDrop бінарний файл, який, як частину свого навантаження, створює приховану директорію з назвою .pkgdb у поточній робочій директорії.

      ./RushDrop --install .pkgdb
    2. Запуск Привілейованого Компоненту (T1569):
      Тоді дропер запускає SilentRaid з аргументом plugins щоб завантажити шкідливі модулі, які встановлюють стійкість через системні служби.

      sudo ./SilentRaid --load plugins
    3. Виявлення Мережі (T1016.001):
      Нарешті, зловмисне ПЗ збирає інформацію маршрутизації для відображення внутрішньої мережі:

      cat /proc/net/route

    Коли ці три фрагменти командного рядка з’являються разом (або перші два разом and третій як альтернатива), умова правила Sigma оцінюється як істинна, генеруючи сповіщення.

  • Скрипт Регресійного Тесту:

    #!/usr/bin/env bash
    #
    # Скрипт перевірки виявлення UAT-7290
    # Імітує точні шаблони командного рядка, необхідні по правилу Sigma.
    #
    set -euo pipefail
    
    # 1. Створити тимчасову робочу директорію
    WORKDIR=$(mktemp -d)
    cd "$WORKDIR"
    
    # 2. Імітувати RushDrop бінарний файл
    echo -e '#!/usr/bin/env bashnecho "Виконано RushDrop"' > RushDrop
    chmod +x RushDrop
    
    # 3. Виконати RushDrop з аргументом .pkgdb (створює папку)
    ./RushDrop --install .pkgdb
    mkdir -p .pkgdb   # імітація поведінки дропера
    
    # 4. Імітувати бінарний файл SilentRaid
    echo -e '#!/usr/bin/env bashnecho "SilentRaid завантажив плагіни"' > SilentRaid
    chmod +x SilentRaid
    
    # 5. Виконати SilentRaid з аргументом plugins (вимагає sudo для реалізму)
    sudo ./SilentRaid --load plugins
    
    # 6. Команда виявлення мережі
    cat /proc/net/route
    
    # 7. Очистити (опціонально - зберегти для мануального огляду, якщо потрібно)
    # rm -rf "$WORKDIR"
  • Команди очищення:

    # Видалити тимчасовий каталог і будь-які артефакти, створені під час тесту
    sudo rm -rf "$WORKDIR"
    # Очистити чергу auditd щоб переконатися, що залишкові події не залишилися
    sudo auditctl -D
    # Перезапустіть auditd щоб відновити правила за замовчуванням
    sudo systemctl restart auditd