0-day в деле
Image

0-day в деле

Показываем, как критические баги ломают системы в реальном времени, пока вендоры только готовят патч. 

Хакеры из Китая вспомнили про торренты. Но скачивают не кино, а данные провайдеров

leer en español

Cisco Talos Китай BitTorrent UAT-9244 шпионаж
Хакеры из Китая вспомнили про торренты. Но скачивают не кино, а данные провайдеров
Cisco Talos Китай BitTorrent UAT-9244 шпионаж

Специалисты обнаружили три новых вредоносных программы группы UAT-9244.

image

Китайская хакерская группа развернула новую волну атак на телекоммуникационные компании Южной Америки. Специалисты Cisco Talos обнаружили сразу три новых вредоносных инструмента, с помощью которых злоумышленники получают доступ к сетям операторов связи, заражают оборудование и превращают устройства в узлы для дальнейших атак.

Cisco Talos отслеживает деятельность группы под названием UAT-9244. По данным специалистов, группировка тесно связана с китайскими операциями кибершпионажа и имеет прямые пересечения с Famous Sparrow. С 2024 года UAT-9244 атакует критическую инфраструктуру связи в странах Южной Америки. Под удар попадают рабочие станции на Windows, серверы на Linux и сетевые устройства на границе инфраструктуры.

В ходе кампании злоумышленники применяют три вредоносные программы. Первая получила название TernDoor. Вторая – PeerTime, а третья – BruteEntry. Каждый инструмент выполняет собственную задачу: закрепление в системе, удалённое управление зараженными устройствами и массовый перебор паролей к внешним сервисам.

Основной элемент атак – бэкдор TernDoor. Программа представляет собой новую модификацию вредоносного инструмента CrowDoor, который ранее использовали китайские группировки Famous Sparrow и Earth Estries. CrowDoor, в свою очередь, происходит от другой вредоносной программы SparrowDoor. Специалисты также наблюдали похожие инструменты в операциях Tropic Trooper, что указывает на тесные связи между этими группами.

Для запуска вредоносного кода злоумышленники применяют технику подмены библиотек. Система запускает легитимный файл wsprint.exe, который загружает вредоносную библиотеку BugSplatRc64.dll. Затем библиотека считывает файл WSPrint.dll, расшифровывает содержимое и запускает полезную нагрузку TernDoor прямо в памяти компьютера.

TernDoor обеспечивает полный удалённый контроль над зараженной системой. Вредоносная программа собирает информацию о компьютере, имени пользователя и сетевых параметрах, выполняет команды, запускает процессы и читает файлы. В состав бэкдора входит зашифрованный драйвер Windows. Драйвер способен останавливать, возобновлять и завершать процессы, что помогает скрывать активность вредоносного кода.

Для закрепления в системе злоумышленники создают задачу планировщика Windows под названием WSPrint, которая запускает вредоносную программу при старте системы. Дополнительно вредоносный код меняет ключи реестра, чтобы скрыть созданную задачу. Иногда программа добавляет собственный ключ автозапуска в реестре, благодаря чему запускается при входе пользователя в систему.

Команды TernDoor поступают с управляющего сервера. Вредоносная программа подключается к заданному IP-адресу и использует параметры соединения, зашитые в конфигурации. Среди них адрес сервера управления, порт, число попыток подключения и строка User-Agent.

Помимо Windows-бэкдора, UAT-9244 применяет ещё один инструмент – PeerTime. Программа работает в системах Linux и распространяется как ELF-файл, собранный для различных архитектур процессоров. Такой подход позволяет заражать в том числе сетевые устройства и встраиваемые системы.

PeerTime устанавливается через сценарий оболочки, который загружает загрузчик и дополнительный модуль. Вредоносная программа проверяет наличие Docker на устройстве и при необходимости запускает код внутри контейнера. Внутри файла специалисты нашли отладочные строки на китайском языке, что подтверждает происхождение инструмента.

После запуска PeerTime использует протокол BitTorrent для связи с управляющими узлами и другими зараженными устройствами. Через пиринговую сеть вредоносная программа получает команды, скачивает файлы и запускает их на зараженном устройстве. В настоящее время специалисты наблюдают две версии программы: одну написали на C/C++, более новую – на языке Rust. В некоторых системах вредоносная программа маскируется под обычные процессы, чтобы избежать обнаружения.

Третий инструмент, BruteEntry, превращает зараженные устройства в прокси-узлы для масштабного перебора паролей. Такие узлы называют Operational Relay Boxes. Обычно вредоносная программа устанавливается на сетевые устройства на границе инфраструктуры.

После заражения BruteEntry связывается с управляющим сервером и сообщает IP-адрес и имя системы. Сервер отправляет список задач – перечень адресов, которые нужно атаковать. Затем вредоносная программа пытается подобрать пароли к сервисам SSH, серверам баз данных Postgres и веб-интерфейсу Apache Tomcat.

Если перебор пароля оказывается успешным, зараженное устройство отправляет результат на управляющий сервер. Таким образом сеть зараженных устройств постепенно расширяет доступ злоумышленников к новым системам.

Специалисты Cisco Talos отмечают, что UAT-9244 активно наращивает инфраструктуру и продолжает развивать вредоносные инструменты. При этом прямую связь между этой группой и другой китайской операцией Salt Typhoon установить пока не удалось, хотя обе кампании нацелены на телекоммуникационные компании.