SOC Prime Bias: Критичний

08 Jul 2026 16:21 UTC

UAT-7810 продовжує створювати мережі ORB, використовуючи нове шкідливе програмне забезпечення

Author Photo
SOC Prime Team linkedin icon Стежити
UAT-7810 продовжує створювати мережі ORB, використовуючи нове шкідливе програмне забезпечення
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

Група APT, пов’язана з Китаєм, UAT-7810 продовжує розширювати свою мережу LapDogs Operational Relay Box за допомогою набору власного шкідливого програмного забезпечення, що включає LONGLEASH, DOGLEASH та JARLEASH. Актор зосереджується на вбудованих пристроях та обладнанні для мереж, щоб створити проксі-інфраструктуру, яка згодом може бути використана вторинними зловмисниками. Ці операції частково покладаються на експлуатацію відомих вразливостей в обладнанні Ruckus та ASUS.

Дослідження

Cisco Talos вивчила інфраструктуру та шкідливе програмне забезпечення, пов’язане з UAT-7810, та ідентифікувала оновлені версії відомих інструментів разом із двома абсолютно новими родинами шкідливих програм. Аналіз показав використання специфічних VPS вузлів та власного відбитка сертифіката TLS для керуючого та контрольного трафіку. Дослідники також пов’язали інфраструктуру актора з зусиллями щодо розширення мережі ORB у середовища маршрутизаторів ASUS AiCloud.

Пом’якшення

Організації повинні надавати пріоритет виправленням безпеки бездротових маршрутизаторів Ruckus проти відомих проблем, таких як CVE-2020-22653, CVE-2020-22658, та CVE-2023-25717. Забезпечення безпеки маршрутизаторів ASUS AiCloud проти CVE-2025-2492 також є важливим. Сегментація мережі, що ізолює пристрої IoT та вбудовані пристрої, може додатково зменшити ризик використання цих систем як вузлів ретрансляції.

Реагування

Якщо виявлені адреси IP або внутрішнє ім’я ff-agent виявлені, реагуючі на інциденти мають негайно ізолювати уражені мережеві пристрої. Потім слід провести судово-технічний аналіз для перевірки артефактів LEASHTEST або несанкціонованих shell-скриптів. Телеметрія мережі також має бути перевірена на наявність рядка користувача-агента Chrome, пов’язаного з імплантом LONGLEASH.

Потік атаки

Виконання симуляції

Передумова: Попередня перевірка телеметрії та базових показників повинна пройти успішно.

Обґрунтування: Цей розділ детально описує точне виконання техніки зловмисника (TTP), призначеної для тригера правила виявлення. Команди та наратив ПОВИННІ безпосередньо відображати ідентифіковані TTP та націлюватися на отримання точної телеметрії, очікуваної логікою виявлення. Абстрактні або незв’язані приклади призведуть до неправильної діагностики.

  • Наратив атаки та команди: Зловмисник успішно отримав початковий доступ до цілі Linux через веб-вразливість (використовує CVE-2023-25717). Щоб встановити стійкість та команду та контроль (C2), він завантажує спеціалізований бекдор з їх інфраструктури. Відповідно до шаблонів родини шкідливих програм UAT-7810, зловмисник називає скинутий бінарний файл LEASHTEST щоб вписатися в потенційні тестові скрипти, але сама ця кінвенція іменування є підписом цього конкретного зловмисника. Потім зловмисник виконує ./LEASHTEST щоб ініціювати зворотну оболонку, яка повинна активувати правило виявлення на основі імені процесу.

  • Скрипт тесту регресії:

    #!/bin/bash
    # Скрипт симуляції для виявлення імені процесу шкідливого ПЗ UAT-7810
    
    echo "[+] Початок симуляції: Бекдор шкідливого ПЗ UAT-7810"
    
    # 1. Створити фіктивний двійковий файл, щоб симулювати шкідливе ПЗ
    # У реальному сценарії це був би фактичний шкідливий ELF-файл.
    echo "#!/bin/bash" > LEASHTEST
    echo "echo 'Simulated Malware Payload Executed'" >> LEASHTEST
    
    # 2. Зробити файл виконуваним
    chmod +x LEASHTEST
    
    # 3. Виконати 'шкідливе ПЗ', щоб активувати правило виявлення
    echo "[+] Виконання LEASHTEST..."
    ./LEASHTEST
    
    echo "[+] Команду симуляції завершено."
  • Команди очищення:

    # Очистити артефакти симуляції
    rm -f LEASHTEST
    echo "[+] Очищення завершено."