Telekomünikasyon sağlayıcılarını hedef almak için Linux tabanlı kötü amaçlı yazılım kullanan gelişmiş bir tehdit aktörü, yakın zamanda operasyonlarını Güneydoğu Avrupa’daki kuruluşları da kapsayacak şekilde genişletti.
Cisco Talos tarafından dahili olarak UAT-7290 olarak takip edilen aktör, güçlü Çin bağlantı göstergeleri gösteriyor ve genellikle siber casusluk operasyonlarında Güney Asya’daki telekomünikasyon şirketlerine odaklanıyor.
En az 2022’den beri aktif olan UAT-7290 grubu, saldırılar sırasında bir Operasyonel Aktarma Kutusu (ORB) altyapısı kurarak ilk erişim grubu olarak da hizmet veriyor ve bu altyapı daha sonra Çin’e bağlı diğer tehdit aktörleri tarafından kullanılıyor.
Araştırmacılara göre, bilgisayar korsanları bir ihlal öncesinde kapsamlı bir keşif gerçekleştiriyor ve uç ağ cihazlarındaki bilinen kusurlar için özel ve açık kaynaklı kötü amaçlı yazılımların ve genel istismarların bir karışımını kullanıyor.
Cisco Talos bugün bir raporda, “UAT-7290, ilk erişimi elde etmek ve güvenliği ihlal edilmiş sistemlerde ayrıcalıkları yükseltmek için halka açık uç cihazlardan ödün vermek üzere bir günlük açıklardan ve hedefe özel SSH kaba kuvvetinden yararlanıyor” dedi.
UAT-7290 cephaneliği
UAT-7290 öncelikle Linux tabanlı bir kötü amaçlı yazılım paketi kullanıyor ve ara sıra Çin bağlantılı birçok aktör arasında yaygın olarak paylaşılan RedLeaves ve ShadowPad gibi Windows implantlarının dağıtımlarını yapıyor.
Cisco, aşağıdaki Linux kötü amaçlı yazılım ailelerini vurgulayarak bunları UAT-7290’a bağlar:
- RushDrop (ChronosRAT) – Enfeksiyon zincirini başlatan ilk damlalık. Temel anti-VM kontrollerini gerçekleştirir, gizli bir .pkgdb dizini oluşturur veya doğrular ve içine gömülü üç ikili dosyanın kodunu çözer: daytime (DriveSwitch yürütücüsü), chargen (SilentRaid implantı) ve komut yürütme için kötüye kullanılan meşru bir Linux yardımcı programı meşgul kutusu.
- DriveSwitch – Risk altındaki sistemde SilentRaid implantını çalıştırmak için birincil işleve sahip, RushDrop tarafından bırakılan çevre birimi bileşeni.
- SilentRaid (MystRodX) – C++ ile yazılmış ve eklenti tabanlı bir tasarım etrafında oluşturulmuş ana kalıcı implant. Temel anti-analiz kontrollerini gerçekleştirir, C2 alanını Google’ın genel DNS çözümleyicisini kullanarak çözümler; uzaktan kabuk erişimini, bağlantı noktası iletmeyi, dosya işlemlerini, tar ile dizin arşivlemeyi, /etc/passwd erişimini ve X.509 sertifika niteliklerinin toplanmasını destekler.
- Bulbature – Daha önce Sekoia tarafından belgelenen, güvenliği ihlal edilmiş cihazları Operasyonel Aktarma Kutularına (ORB’ler) dönüştürmek için kullanılan, Linux tabanlı UPX paketli bir implant. Yapılandırılabilir bağlantı noktalarını dinler, ters kabukları açar ve C2 yapılandırmasını /tmp/*.cfg dosyasında saklar, C2 dönüşünü destekler ve kendinden imzalı bir TLS sertifikası kullanır.
Sekoia’nın daha önce belgelediğiyle aynı olan Bulbature TLS sertifikası, IP’leri SuperShell, GobRAT ve Cobalt Strike işaretçileri gibi diğer kötü amaçlı yazılım aileleriyle ilişkilendirilen Çin ve Hong Kong merkezli 141 ana bilgisayarda bulunuyor.
Cisco Talos’un raporu, UAT-7290 tarafından kullanılan kötü amaçlı yazılım hakkında teknik ayrıntıların yanı sıra, kuruluşların bu tehdit aktörüne karşı savunma yapmasına yardımcı olacak risk göstergelerinin bir listesini de sağlıyor.
İster eski anahtarları temizliyor ister yapay zeka tarafından oluşturulan kod için korkuluklar kuruyor olun, bu kılavuz ekibinizin en başından itibaren güvenli bir şekilde geliştirme yapmasına yardımcı olur.
Hile sayfasını alın ve sır yönetimindeki tahminleri ortadan kaldırın.