Ваш сервер — их притон: как группа UAT-7290 сдает ваши сервера в аренду своим друзьям. Дорого

Команда Cisco Talos сообщила о расширении активности хакерской группы, которая использует вредоносные программы под Linux для атак на телекоммуникационные компании. Если раньше такие операции в основном фиксировались в Южной Азии, то теперь те же инструменты и приёмы стали появляться и в странах Юго-Восточной Европы.

В отчётах Cisco эту группировку отслеживают под обозначением UAT-7290. По ряду технических признаков исследователи связывают её с Китаем. Активность группы прослеживается как минимум с 2022 года. При этом она играет двойную роль: не только проводит собственные разведывательные атаки, но и готовит инфраструктуру для первичного доступа, которую позже используют другие связанные с Китаем хакерские команды.

Один из главных элементов таких операций — так называемые Operational Relay Box, или ORB. Это скомпрометированные серверы и сетевые устройства, которые превращаются в промежуточные узлы для управления атаками и маскировки реального источника трафика. UAT-7290 разворачивает узлы ещё на раннем этапе взлома, после чего ими могут пользоваться и другие группы.

Перед атакой злоумышленники тщательно изучают выбранную цель. Для проникновения они используют сочетание собственных инструментов, открытого программного обеспечения и публичных эксплойтов для уже известных уязвимостей в пограничных сетевых устройствах. По данным Cisco Talos, группа активно применяет однодневные эксплойты и целенаправленный подбор SSH-доступов, чтобы взломать устройства, доступные из интернета, а затем закрепиться в системе и повысить привилегии.

Основной упор делается на системы под Linux, хотя в отдельных случаях в атаках появляются и компоненты Windows. Среди них — RedLeaves и ShadowPad, вредоносные программы, которые давно используются сразу несколькими китайскими группировками.

Цепочка заражения Linux начинается с дроппера RushDrop, также известного как ChronosRAT. Он запускает начальный этап атаки, проверяет, не работает ли система в виртуальной среде, создаёт или проверяет наличие скрытого каталога .pkgdb и извлекает несколько встроенных бинарных файлов. Среди них — компонент DriveSwitch, основной имплант SilentRaid и утилита busybox, которая сама по себе является легитимной, но здесь используется злоумышленниками для выполнения команд.

DriveSwitch выполняет вспомогательную роль и служит в основном для запуска SilentRaid на заражённой системе. Сам SilentRaid, также известный под названием MystRodX, представляет собой основной устойчивый имплант. Он написан на C++, построен по модульному принципу и содержит базовые механизмы защиты от анализа. Для связи с управляющими серверами он использует публичный DNS-резолвер Google. Его возможности включают удалённую командную оболочку, проброс портов, работу с файлами, архивирование каталогов с помощью tar, доступ к содержимому файла /etc/passwd и сбор данных из X.509-сертификатов.

Отдельное место в арсенале занимает Bulbature — вредоносная программа под Linux, упакованная с помощью UPX. Её основная задача — превращать заражённые устройства в ORB-узлы. Bulbature открывает обратные shell-соединения, слушает на настраиваемых портах, хранит конфигурацию управляющих серверов в файлах вида /tmp/*.cfg, поддерживает смену C2-инфраструктуры и использует самоподписанный TLS-сертификат.

Тот же сертификат, как отмечают в Cisco Talos, обнаружен на 141 хосте в Китае и Гонконге. Эти IP-адреса ранее уже связывались с другими вредоносными семействами, включая SuperShell, GobRAT и маяки Cobalt Strike.