Связанная с Китаем APT-группа UAT-9244 с 2024 года атакует телеком-провайдеров Южной Америки, используя новое ПО (TernDoor, PeerTime, BruteEntry) для компрометации Windows, Linux и сетевых устройств. — bleepingcomputer.com
Связанная с Китаем группа постоянных угроз (APT), отслеживаемая как UAT-9244, с 2024 года нацеливается на поставщиков телекоммуникационных услуг в Южной Америке, компрометируя устройства под управлением Windows, Linux и сетевое периферийное оборудование.
По данным исследователей Cisco Talos, эта группировка тесно связана с хакерскими группами FamousSparrow и Tropic Trooper, но отслеживается как отдельный кластер активности.
Эта оценка имеет высокую степень достоверности и основана на схожих инструментах, тактиках, методах и процедурах (TTP), а также на виктимологии, наблюдаемой в атаках, приписываемых этим злоумышленникам.
Исследователи отмечают, что, хотя UAT-9244 имеет тот же профиль целей, что и Salt Typhoon, им не удалось установить прочную связь между этими двумя кластерами активности.
Новое вредоносное ПО, нацеленное на телекоммуникационные сети
Исследователи обнаружили, что кампания использовала три ранее не документированных семейства вредоносного ПО: TernDoor — бэкдор для Windows; PeerTime — бэкдор для Linux, использующий BitTorrent; и BruteEntry — сканер для брутфорса, который создает прокси-инфраструктуру (ORBs).
TernDoor развертывается посредством боковой загрузки DLL, используя легитимный исполняемый файл wsprint.exe для загрузки вредоносного кода из BugSplatRc64.dll, который затем расшифровывает и выполняет конечную полезную нагрузку в памяти (внедряется в msiexec.exe).
Вредоносное ПО содержит встроенный драйвер Windows, WSPrint.sys, который используется для завершения, приостановки и возобновления процессов.
Постоянство достигается за счет запланированных задач и модификаций реестра Windows, которые также используются для сокрытия запланированной задачи.
Кроме того, TernDoor может выполнять команды через удаленную оболочку, запускать произвольные процессы, считывать/записывать файлы, собирать системную информацию и самостоятельно удаляться.
PeerTime — это бэкдор ELF для Linux, нацеленный на несколько архитектур (ARM, AARCH, PPC, MIPS), что предполагает его разработку для компрометации широкого спектра встраиваемых систем и сетевых устройств, используемых в телекоммуникационной среде.
Cisco Talos задокументировала две версии PeerTime. Один вариант написан на C/C++, а другой основан на Rust. Исследователи также заметили строки отладки на упрощенном китайском языке в инструментируемом бинарном файле, что указывает на его происхождение.
Его полезная нагрузка расшифровывается и загружается в память, а его процесс переименовывается, чтобы выглядеть легитимным.
PeerTime, бэкдор на основе ELF с одноранговым (P2P) соединением, использует протокол BitTorrent для связи командно-контрольного центра (C2), загружает и выполняет полезные нагрузки от других узлов, а также использует BusyBox для записи файлов на хосте.
Наконец, есть BruteEntry, который состоит из бинарного файла инструментатора на Go и компонента для брутфорса. Его роль заключается в превращении скомпрометированных устройств в узлы сканирования, известные как Operational Relay Boxes (ORBs).
Злоумышленник использует машины с BruteEntry для сканирования новых целей и брутфорса доступа к SSH, Postgres и Tomcat. Результаты попыток входа отправляются обратно на C2 с указанием статуса задачи и примечаний.
В техническом отчете, опубликованном сегодня, исследователи Cisco Talos подробно описывают возможности трех образцов вредоносного ПО, способы их развертывания и достижения постоянства.
Исследователи Cisco Talos перечислили индикаторы компрометации (IoC), связанные с наблюдаемой активностью UAT-9244, которые защитники могут использовать для раннего обнаружения и блокирования этих атак.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas