中國關聯的 UAT-7290 鎖定南亞電信網絡
長期網絡間諜活動
一個持續的網絡間諜活動,鎖定南亞的高價值電信基礎設施,已被歸因於一個名為 UAT-7290 的高級威脅組織。根據今日由 Cisco Talos 發布的公告,該活動自 2022 年起持續進行,專注於獲取具有戰略重要性的網絡的深度訪問。
攻擊目標與策略
此活動主要針對電信供應商,這一行業對國家基礎設施至關重要。報告指出,UAT-7290 在發動攻擊前進行廣泛的技術偵查,仔細繪製環境以最大化後續活動的效果。近幾個月來,該組織還將攻擊目標擴展至東南歐。
操作中繼基礎設施
除了間諜活動外,該威脅組織似乎最近還建立了操作中繼盒(ORB)基礎設施,有效地將受損系統轉換為中繼節點,供其他中國關聯的團體使用。這表明 UAT-7290 不僅是情報收集作業,也是一個初始訪問的促成者。
攻擊技術與工具
Cisco Talos 高度自信地評估,UAT-7290 與中國關聯的高級持續性威脅(APT)組織相關。該組織主要攻擊公共可訪問的邊緣設備,利用一日漏洞攻擊廣泛部署的網絡產品,並使用針對特定目標的 SSH 暴力破解技術。該組織似乎依賴於公開可用的概念驗證(PoC)代碼,而非開發定制漏洞利用工具。
與其他中國關聯活動的重疊
調查人員發現,該組織與已知的中國關聯活動存在顯著重疊,包括與 APT10 相關的 RedLeaves 和多個中國威脅組織使用的 ShadowPad 惡意軟體。受害者與基礎設施也與之前與中國人民解放軍單位相關的 Red Foxtrot 組織重疊。
主要惡意軟體工具
UAT-7290 的工具主要基於 Linux,專為邊緣設備設計。Cisco Talos 跟踪的核心惡意軟體家族包括:
- RushDrop:一個用於啟動感染鏈的載體
- DriveSwitch:用於執行主要植入的工具
- SilentRaid:一個保持持久訪問的後門
SilentRaid 是模塊化的,允許操作人員根據操作需求部署功能,如遠程 shell 訪問、文件管理和端口轉發。另一個植入工具 Bulbature 被用來將受損設備轉換為中繼基礎設施。最近的變種包括一個自簽名證書,研究人員在至少 141 個位於中國或香港的主機上發現了這一證書。這些系統中的若干也與通常與中國關聯活動相關的其他惡意軟體家族相連。
結論
Cisco Talos 表示,該活動強調了對南亞電信網絡的持續關注,並凸顯了這些環境對高級威脅組織的戰略價值。