與中國相關的進階持續性威脅(APT)組織
UAT-7290 近期將攻擊範圍擴大至東南歐地區。
該組織使用 Linux 惡意軟體,專門針對電信業者發動網路間諜活動。
長期鎖定南亞電信業者
思科 Talos 資安團隊指出,UAT-7290 從 2022 年開始活動,
主要鎖定南亞地區的電信業者。這個組織展現出強烈的中國關聯,在攻擊行動中扮演雙重角色:既進行間諜活動,也作為初始入侵組織。
研究人員發現,
UAT-7290 會在攻擊過程中建立作業中繼箱(ORB)基礎設施,將被入侵的系統轉化為中繼節點,供其他與中國有關的威脅行為者使用。這顯示 UAT-7290 不僅收集情報,也為其他駭客組織提供網路存取管道。
攻擊手法
思科 Talos 的報告中指出,UAT-7290
在發動攻擊前會進行大規模的技術偵察,仔細繪製目標環境的網路架構圖,以提高後續攻擊的成效。
駭客主要利用公開的邊緣網路設備已知漏洞的概念驗證(PoC)程式碼,搭配針對特定目標的SSH暴力破解技術,來入侵面向公眾的邊緣設備。值得注意的是,這個組織似乎依賴公開可用的漏洞利用程式碼,而非自行開發專屬的攻擊工具。
思科 Talos 的研究人員指出,
UAT-7290 利用一日漏洞和針對性的 SSH 暴力破解攻擊,入侵面向公眾的邊緣設備,藉此取得初始存取權限並提升系統權限。
多樣化的惡意軟體工具組
UAT-7290 主要使用 Linux 惡意軟體套件,偶爾也會部署 Windows 植入程式,例如 RedLeaves 和 ShadowPad。這兩種惡意軟體在多個中國相關威脅行為者之間廣泛共享:
RedLeaves 與 APT10 組織有關,ShadowPad 則被多個中國駭客組織使用。
思科 Talos 追蹤到的 Linux 惡意軟體家族包括:
RushDrop(又稱 ChronosRAT)是初始投放器,負責啟動感染鏈。它會執行基本的反虛擬機檢查,建立或驗證隱藏的 .pkgdb 目錄,並解碼三個嵌入的二進位檔案:daytime(DriveSwitch 執行器)、chargen(SilentRaid 植入程式),以及被濫用來執行命令的合法 Linux 工具程式 busybox。
DriveSwitch 是 RushDrop 投放的周邊元件,主要功能是在受害系統上執行 SilentRaid 植入程式。
SilentRaid(又稱 MystRodX)是主要的持久性植入程式,以 C++ 編寫,採用基於外掛程式的設計架構。它會執行基本的反分析檢查,使用 Google 的公共 DNS 解析器來解析其命令與控制(C2)伺服器網域。此外,它還支援多項功能:遠端 shell 存取、連接埠轉發、檔案操作、使用 tar 進行目錄封存、存取 /etc/passwd 檔案,以及收集 X.509 憑證屬性。
Bulbature 是一個經過 UPX 封裝的 Linux 植入程式,先前由 Sekoia 資安公司記錄過。這個工具用於將受害設備轉換為作業中繼箱(ORB)節點。它會在可設定的連接埠上監聽、開啟反向 shell,並將 C2 設定儲存在 /tmp/*.cfg 檔案中。此外,它還支援 C2 輪換機制,並使用自簽名的 TLS 憑證。
基礎設施重疊揭示組織間協作
研究人員發現,Bulbature 使用的 TLS 憑證與 Sekoia 先前記錄的相同。這個憑證出現在 141 個位於中國和香港的主機上,這些 IP 位址也與其他惡意軟體家族有關聯,包括 SuperShell、GobRAT 和 Cobalt Strike beacon。
分析顯示,UAT-7290 在戰術和基礎設施上與其他中國駭客組織有重疊之處,包括 Stone Panda 和 RedFoxtrot(又稱 Nomad Panda)。這種重疊現象暗示不同的中國駭客間可能存在協作關係。
防護建議
思科 Talos 的報告詳細說明 UAT-7290 使用的惡意軟體技術外,並提供一系列入侵指標(IoC),協助組織防禦此威脅。資安專家建議組織採取以下措施:
- 定期更新面向公眾的邊緣網路設備,修補已知漏洞
- 加強 SSH 登入安全控制,使用強密碼並限制登入嘗試次數
- 監控異常的網路流量和可疑的 DNS 查詢活動
- 檢查系統中是否存在報告提及的惡意軟體檔案和行為特徵
- 定期稽核系統權限和存取控制設定
這起攻擊活動凸顯電信基礎設施對進階威脅行為者的戰略價值,特別是在南亞和東南歐地區。電信業者應提高警覺,強化網路安全防護,以抵禦持續演進的網路威脅。
本文轉載自 BleepingComputer、TheHackerNews、InfosecurityMagazine。