Cisco Talosのインテリジェンス部門は、洗練されたLinuxマルウェアを用いて通信事業体を標的とする脅威アクターの活動が、地理的に大きく拡大していると報告した。これらの作戦は以前は南アジアに集中していたが、同グループ特有のツールと手法が近頃、東南ヨーロッパ全域で確認されている。
Ciscoの分析枠組みにおいて、この集団はUAT-7290という名称で監視されている。複数の技術的シグネチャの組み合わせに基づき、研究者は同グループを中国の利害に帰属させており、少なくとも2022年まで遡る活動が確認されている。同グループは二重の戦略目的を担う。すなわち、自ら諜報主導の侵入を実行すると同時に、関連する中国のサイバー諜報集団が活用できる一次アクセス基盤を育成している。
彼らの運用ドクトリンの要は、Operational Relay Boxes(ORBs)の展開である。これは侵害されたサーバーやネットワーク機器を中継ノードとして再利用し、攻撃の指揮と悪性トラフィックの出所隠蔽を行うものだ。UAT-7290は侵害の初期段階でこれらのノードを構築し、後続のアクターにとって強靭な基盤を提供する。
同グループの手口は、関与に先立って標的を徹底的に偵察することを含む。侵入は、独自ツール、オープンソースユーティリティ、そして境界ネットワーク機器に存在する既知の脆弱性を突く公開エクスプロイトを組み合わせた特注の混成手段によって達成される。Cisco Talosは、同グループが「ワンデイ」エクスプロイトや標的型SSH認証情報の収集を積極的に悪用してインターネット公開機器を侵害し、その後、永続化を確立して権限昇格を行うと観測している。
主な焦点はLinuxベースのシステムにある一方で、Windowsコンポーネントが武器庫に現れることもある。とりわけRedLeavesとShadowPadは、中国の国家支援グループ間で長年にわたり共有利用されてきた履歴を持つマルウェアファミリーである。Linuxの感染シーケンスはRushDropドロッパー(ChronosRATとしても知られる)から始まる。このコンポーネントは初期実行フェーズを統括し、仮想化回避チェックを行ったうえで、隠蔽された.pkgdbディレクトリを作成する。続いて、DriveSwitchヘルパー、SilentRaidの主要インプラント、そしてコマンド実行用に転用された正規のBusyBoxユーティリティを含む、複数の埋め込みバイナリを抽出する。
DriveSwitchは補助役として機能し、その唯一の任務は侵害環境内でSilentRaidを初期化することである。SilentRaid(別名MystRodX)は、典型的な永続型インプラントとして機能する。C++で作成され、モジュール型アーキテクチャを採用し、基本的な解析妨害の保護機構を備える。コマンド&コントロール(C2)通信にはGoogleの公開DNSリゾルバを利用する。その能力は広範で、リモートシェルアクセス、ポートフォワーディング、ファイル操作、tarによるディレクトリアーカイブ、さらに/etc/passwdおよびX.509証明書からの機微データの持ち出しを含む。
Bulbatureは独自の役割を担う。これはUPXでパックされたLinuxマルウェアで、主機能は感染ホストをORBノードへ変換することである。Bulbatureはリバースシェルを確立し、設定可能なポートを監視し、C2設定を一時ファイル(例:/tmp/*.cfg)内に保持する。動的なC2インフラの切り替えを可能にし、特定の自己署名TLS証明書を使用する。
注目すべきことに、Cisco Talosは中国および香港に所在する141台のホストで、この同一の証明書を特定している。これらのIPアドレスは、SuperShell、GobRAT、Cobalt Strikeビーコンを含む複数のマルウェアファミリーと過去に関連しており、より広範な地域の脅威エコシステムとの結び付きを一層裏付けている。
翻訳元: https://meterpreter.org/the-european-pivot-china-linked-uat-7290-targets-telecoms-with-silentraid/
