Linuxベースのマルウェアを用いて通信事業者を標的とする高度な脅威アクターが、最近、活動範囲を拡大し、東南ヨーロッパの組織も対象に含めるようになりました。
Cisco Talosが内部で UAT-7290として追跡しているこのアクターは、中国との強い関連を示す指標があり、通常はサイバー諜報活動において 南アジアの通信事業者に焦点を当てています。
少なくとも2022年から活動しているUAT-7290グループは、攻撃中にOperational Relay Box(ORB)インフラを構築することで初期アクセスグループとしても機能しており、その後、このインフラは他の中国寄りの脅威アクターによって利用されます。
研究者によると、ハッカーは侵害の前に 広範な偵察を実施し、エッジネットワークデバイスに存在する既知の 欠陥に対するカスタムおよびオープンソースのマルウェア、ならびに公開エクスプロイトを組み合わせて展開します。
「UAT-7290は、ワンデイエクスプロイトと標的特化のSSHブルートフォースを活用して、インターネットに公開されたエッジデバイスを侵害し、初期アクセスを獲得するとともに、侵害したシステム上で権限昇格を行います」と、Cisco Talosは本日公開したレポートで述べています。
UAT-7290の兵器庫
UAT-7290は主にLinuxベースのマルウェアスイートを使用し、場合によってはRedLeavesやShadowPadといったWindowsインプラントも展開します。これらは複数の中国関連アクターの間で広く共有されています。
Ciscoは、以下のLinuxマルウェアファミリーを挙げ、UAT-7290との関連を示しています。
- RushDrop(ChronosRAT)– 感染チェーンを開始する初期ドロッパー。基本的なアンチVMチェックを実行し、隠し.pkgdbディレクトリを作成または検証し、内部に埋め込まれた3つのバイナリをデコードします:daytime(DriveSwitch実行モジュール)、chargen(SilentRaidインプラント)、およびbusybox(コマンド実行のために悪用される正規のLinuxユーティリティ)。
- DriveSwitch – RushDropによって投下される周辺コンポーネントで、主な機能は侵害されたシステム上でSilentRaidインプラントを実行することです。
- SilentRaid(MystRodX)– C++で書かれ、プラグインベースの設計を中心に構築された主要な永続インプラント。基本的なアンチ解析チェックを実行し、Googleの公開DNSリゾルバを使用してC2ドメインを解決します。リモートシェルアクセス、ポートフォワーディング、ファイル操作、tarによるディレクトリアーカイブ、/etc/passwdへのアクセス、X.509証明書属性の収集をサポートします。
- Bulbature – 以前Sekoiaによって文書化された、LinuxベースのUPXパックされたインプラントで、侵害されたデバイスをOperational Relay Boxes(ORB)に変換するために使用されます。設定可能なポートで待ち受け、リバースシェルを開き、C2設定を/tmp/*.cfgに保存します。C2のローテーションをサポートし、自己署名TLS証明書を使用します。
BulbatureのTLS証明書は、Sekoiaが以前文書化したものと同一であり、141の中国および香港拠点のホスト上で見つかっています。これらのIPは、SuperShell、GobRAT、Cobalt Strikeビーコンなど、他のマルウェアファミリーとも関連付けられています。
Cisco Talosのレポートでは、 UAT-7290が使用するマルウェアに関する技術的な詳細に加え、組織がこの脅威アクターに対抗するための侵害指標(IOC)の一覧も提供されています。
