Linux ベースのマルウェアを使用して電気通信プロバイダーを標的にする巧妙な脅威行為者が、最近、南東ヨーロッパの組織にも活動の幅を広げています。
Cisco Talosが内部的にUAT-7290として追跡しているこの脅威主体は、中国との強い結びつきを示す指標を示しており、通常、サイバースパイ活動において南アジアの通信事業者に焦点を当てています。
少なくとも2022年以降活動しているUAT-7290グループは、攻撃中にORB(Operational Relay Box)インフラを確立することで、最初のアクセスグループとしての役割も果たしており、その後、他の中国と連携する脅威行為者によって利用される。
研究者によると、ハッカーは侵入前に大規模な偵察を行い、カスタムおよびオープンソースのマルウェアと、エッジ・ネットワーク・デバイスの既知の欠陥に対する公開エクスプロイトを組み合わせて展開する。
「UAT-7290は、1日限りのエクスプロイトとターゲットに特化したSSHブルートフォースを活用して、公衆向けのエッジデバイスを侵害し、侵害されたシステム上で初期アクセスと権限の昇格を行います」と、Cisco Talosは本日のレポートで述べています。
UAT-7290 の武器
UAT-7290 は主に Linux ベースのマルウェアを使用していますが、RedLeaves や ShadowPad などの Windows インプラントも時折導入しています。
Ciscoは、UAT-7290に関連する以下のLinuxマルウェア・ファミリーを挙げています:
- RushDrop (ChronosRAT) – 感染の連鎖を開始する最初のドロッパー。基本的なアンチVMチェックを実行し、隠し.pkgdbディレクトリを作成または検証し、内部に埋め込まれた3つのバイナリ(Daytime(DriveSwitchエグゼキュータ)、chargen(SilentRaidインプラント)、およびコマンド実行に悪用される正規のLinuxユーティリティであるbusybox)をデコードします。
- DriveSwitch – RushDropによってドロップされた周辺コンポーネントで、侵害されたシステム上でSilentRaidインプラントを実行する主な機能を持ちます。
- SilentRaid (MystRodX) – C++ で記述され、プラグインベースの設計で構築されたメインの永続的インプラント。リモートシェルアクセス、ポート転送、ファイル操作、tarによるディレクトリアーカイブ、/etc/passwdへのアクセス、X.509証明書属性の収集をサポートしています。
- Bulbature – 以前 Sekoia によって文書化された、Linux ベースの UPX パックインプラント。設定可能なポートでリッスンし、リバースシェルを開き、C2設定を/tmp/*.cfgに保存し、C2ローテーションをサポートし、自己署名TLS証明書を使用します。
BulbatureのTLS証明書は、Sekoiaが以前に文書化したものと同じもので、中国および香港を拠点とする141のホストで発見されており、そのIPはSuperShell、GobRAT、Cobalt Strikeビーコンなどの他のマルウェア・ファミリーと関連付けられています。
Cisco Talosのレポートでは、UAT-7290が使用するマルウェアに関する技術的な詳細と、この脅威主体に対する組織の防御に役立つ侵害の指標リストを提供しています。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}
.ia_button {
width: 100%;
margin: 0px auto;
}
}
秘密 セキュリティ・チートシート:スプロールからコントロールへ
古いキーのクリーンアップでも、AIが生成するコードのガードレールの設定でも、このガイドはチームが最初からセキュアに構築するのに役立ちます。
チートシートを入手して、秘密管理の手間を省きましょう。
Comments