Эксперты Cisco Talos раскрыли деятельность сложной угрозы, отслеживаемой под обозначением UAT-7290. Эта группа, активная как минимум с 2022 года, специализируется на получении первоначального доступа и проведении целенаправленных шпионских операций против организаций критической инфраструктуры в Южной Азии. С высокой степенью уверенности Talos относит UAT-7290 к китайскому кластеру APT-групп.
Описание
Первоначально основной целью UAT-7290 были телекоммуникационные провайдеры в Южной Азии. Однако в последние месяцы исследователи зафиксировали расширение географии атак на Юго-Восточную Европу. Особую опасность представляет двойная роль группы. Помимо глубокого внедрения в сети жертв для шпионажа, UAT-7290 создает узлы операционных ретрансляционных боксов (Operational Relay Box, ORB). Эта инфраструктура затем может использоваться другими китайскими APT-акторами для проведения собственных вредоносных операций, что делает UAT-7290 одновременно группой шпионажа и поставщиком первоначального доступа.
Арсенал и тактика группы
Арсенал UAT-7290 включает как собственные разработки, так и открытое вредоносное программное обеспечение. Группа активно использует эксплойты для уязвимостей в популярных сетевых устройствах, появившихся не более одного дня назад (1-day). Для получения доступа UAT-7290 применяет целевой подбор учетных данных SSH к публично доступным периметровым устройствам, а затем повышает привилегии на скомпрометированных системах. При этом акторы полагаются на публично доступный код эксплойтов, а не разрабатывают его самостоятельно. Перед проведением вторжения группа проводит масштабную техническую разведку целевых организаций.
Вредоносное ПО UAT-7290 демонстрирует значительное совпадение тактик, техник и процедур (TTPs) с известными китайскими группами. Например, исследователи обнаружили пересечения с инфраструктурой, связанной с семейством ShadowPad, а также технические индикаторы, совпадающие с семейством RedLeaves, которое приписывают группе APT10. Кроме того, наблюдается существенное совпадение в выборе жертв, инфраструктуре и инструментах с группой Red Foxtrot, которую компания Recorded Future в 2021 году связала с 69010-м подразделением Народно-освободительной армии Китая.
Семейства вредоносного ПО для Linux
Основной набор инструментов UAT-7290 ориентирован на системы Linux. В текущей кампании Talos выделяет три ключевых компонента.
RushDrop выступает в роли дроппера, который запускает цепочку заражения. После базовых проверок на отсутствие песочницы он создает скрытую папку ".pkgdb" и размещает в ней три бинарных файла.
DriveSwitch является исполнителем. Его задача предельно проста - запустить основной имплант SilentRaid на зараженной системе.
SilentRaid представляет собой многофункциональный бэкдор, написанный на C++. Он служит основным имплантом для установления постоянного доступа к скомпрометированным конечным точкам. Модульная архитектура в виде плагинов позволяет злоумышленникам гибко настраивать функционал. После проверок на анализ SilentRaid связывается со своим командным сервером (C2) для получения инструкций.
Функциональность SilentRaid реализована через встроенные плагины. Плагин "my_socks_mgr" управляет коммуникацией с C2. Плагин "my_rsh" открывает удаленную оболочку для выполнения произвольных команд. Плагин "port_fwd_mgr" настраивает проброс портов между локальной системой и удаленным сервером. Плагин "my_file_mgr" действует как файловый менеджер, позволяя читать системные файлы, выполнять, архивировать, удалять и читать/записывать указанные файлы. Кроме того, SilentRaid может анализировать x509-сертификаты для сбора определенных атрибутов.
Создание инфраструктуры ORB с помощью Bulbature
Еще одним инструментом в арсенале UAT-7290 является вредоносная программа Bulbature. Она предназначена для превращения скомпрометированных устройств в узлы ORB. Bulbature собирает базовую информацию о системе, такую как имя сетевого интерфейса и данные пользователя. Адрес C2 обычно хранится в зашифрованном виде в конфигурационном файле в директории "/tmp". Программа может получать новые адреса C2 от текущего сервера и переключать на них коммуникации, а также открывать обратную оболочку для выполнения команд.
В недавнем варианте Bulbature был обнаружен встроенный самоподписанный сертификат, используемый для связи с C2. Данные Censys показывают, что этот сертификат присутствует как минимум на 141 хосте, расположенных в Китае или Гонконге. На VirusTotal многие IP-адреса, использующие этот сертификат, также связаны с другим вредоносным ПО, типичным для китайских APT-акторов, таким как SuperShell, GobRAT и Cobalt Strike. Это подтверждает связь инфраструктуры UAT-7290 с более широкой экосистемой китайских киберугроз.
Таким образом, UAT-7290 представляет собой развитую и многозадачную угрозу. Группа не только проводит целевые шпионские атаки на критически важные объекты, но и активно строит инфраструктуру, которая служит платформой для операций других враждебных акторов. Это требует от организаций, особенно в сфере телекоммуникаций и критической инфраструктуры, повышенного внимания к безопасности периметровых устройств, мониторингу необычной сетевой активности и своевременному обновлению ПО для устранения известных уязвимостей.
Индикаторы компрометации
SHA256
- 59568d0e2da98bad46f0e3165bcf8adadbf724d617ccebcfdaeafbb097b81596
- 723c1e59accbb781856a8407f1e64f36038e324d3f0bdb606d35c359ade08200
- 961ac6942c41c959be471bd7eea6e708f3222a8a607b51d59063d5c58c54a38d
