南アジアの高価値な通信インフラを標的とした長期的なサイバースパイ作戦は、UAT-7290として追跡される高度な脅威アクターによるものと判断されています。
本日公開されたCisco Talosの勧告で明らかにされた活動は、少なくとも2022年以降続いており、戦略的に重要と考えられるネットワークへの深く永続的なアクセスの獲得に焦点を当てています。
キャンペーンは通信プロバイダーに焦点を当てており、この部門は国家インフラにおいて重要な役割を果たしています。
レポートによると、UAT-7290は侵入を開始する前に広範な技術偵察を実施し、後続の活動の有効性を最大化するために環境を慎重にマッピングしています。
最近数ヶ月間、このグループは東南ヨーロッパへの標的拡大を図っています。
スパイ行為を超えて、脅威アクターは最近、運用中継ボックス(ORB)インフラストラクチャを確立したと思われ、侵害されたシステムを他の中国関連グループによって活用できる中継ノードに効果的に変換しています。これはUAT-7290が情報収集作戦としてだけでなく、初期アクセスファシリテーターとしても機能していることを示唆しています。
Cisco Talosは高い信頼度でUAT-7290が中国関連の高度な持続的脅威(APT)アクターに関連していると評価しました。
このグループは主に公開されているエッジデバイスを侵害し、広く展開されているネットワーク製品のゼロデイ脆弱性を利用し、ターゲット固有のSSHブルートフォース技術を使用しています。
カスタムメイドのエクスプロイトを開発するのではなく、このアクターは公開されているプルーフオブコンセプト(PoC)コードに依存しているようです。
調査官は既知の中国関連の作戦との著しい重複を観察しました。これにはAPT10に関連するRedLeavesとの類似性および複数の中国の脅威グループで使用されるマルウェアファミリーであるShadowPadが含まれます。
被害者学とインフラストラクチャも、以前に人民解放軍ユニットにリンクされたグループであるRed Foxtrotと重複しています。
通信業界のサイバー脅威について詳しく読む:英国のサイバーサービスが10億件の悪意あるサイトアクセスをブロック
UAT-7290のツールセットは主にLinuxベースであり、エッジデバイス向けにカスタマイズされています。Cisco Talosが追跡している主要なマルウェアファミリーは以下の通りです:
-
RushDrop、感染チェーンを開始するドロッパー
-
DriveSwitch、プライマリインプラントを実行するために使用
-
SilentRaid、永続的なアクセスを維持するメインバックドア
SilentRaidはモジュール式であり、オペレーターが運用のニーズに基づいてリモートシェルアクセス、ファイル管理、ポートフォワーディングなどの機能をデプロイできます。
別のインプラントであるBulbatureは、侵害されたデバイスを中継インフラストラクチャに変換するために使用されます。最近の変種には、研究者が中国または香港に位置する少なくとも141のホスト上で特定した自己署名証明書が含まれています。これらのシステムのいくつかは、中国関連の活動に一般的に関連付けられている他のマルウェアファミリーにもリンクされています。
Cisco Talosはこのキャンペーンが南アジアの通信ネットワークへの継続的な焦点を強調し、これらの環境が高度な脅威アクターにもたらす戦略的価値を示していると述べました。
翻訳元: https://www.infosecurity-magazine.com/news/china-uat-7290-targets-telecoms/
