Một nhóm tấn công liên kết với Trung Quốc, được gọi là UAT-7290, đã bị quy kết thực hiện các cuộc xâm nhập tập trung vào hoạt động gián điệp nhằm vào các tổ chức ở Nam Á và Đông Nam Âu.
Nhóm này, đã hoạt động ít nhất từ năm 2022, chủ yếu tập trung vào việc trinh sát kỹ thuật chuyên sâu các tổ chức mục tiêu trước khi tiến hành các cuộc tấn công, cuối cùng dẫn đến việc triển khai các họ mã độc như RushDrop, DriveSwitch và SilentRaid, theo báo cáo của Cisco Talos công bố hôm nay.
"Ngoài việc thực hiện các cuộc tấn công tập trung vào gián điệp, nơi UAT-7290 đào sâu vào cơ sở hạ tầng mạng của doanh nghiệp nạn nhân, các chiến thuật, kỹ thuật và quy trình (TTPs) cũng như công cụ của chúng cho thấy tác nhân này còn thiết lập các nút Operational Relay Box (ORBs)," các nhà nghiên cứu Asheer Malhotra, Vitor Ventura và Brandon White cho biết.
"Cơ sở hạ tầng ORB sau đó có thể được các tác nhân liên kết với Trung Quốc khác sử dụng trong các hoạt động độc hại của chúng, thể hiện vai trò kép của UAT-7290 vừa là một tác nhân đe dọa có động cơ gián điệp vừa là một nhóm truy cập ban đầu."
Các cuộc tấn công do kẻ thù này thực hiện chủ yếu nhắm vào các nhà cung cấp dịch vụ viễn thông ở Nam Á. Tuy nhiên, các đợt xâm nhập gần đây đã mở rộng sang tấn công các tổ chức ở Đông Nam Âu.
Kỹ thuật tấn công của UAT-7290 rất đa dạng, dựa vào sự kết hợp giữa mã độc mã nguồn mở, công cụ tùy chỉnh và các payload cho các lỗ hổng 1-day trong các sản phẩm mạng biên phổ biến. Một số implant Windows đáng chú ý được tác nhân đe dọa này sử dụng bao gồm RedLeaves (còn gọi là BUGJUICE) và ShadowPad, cả hai đều liên quan độc quyền đến các nhóm hack Trung Quốc.
Bộ mã độc Linux chính của nhóm
Nhóm này chủ yếu sử dụng một bộ mã độc dựa trên Linux gồm có:
- RushDrop (còn gọi là ChronosRAT), một dropper khởi đầu chuỗi lây nhiễm
- DriveSwitch, một mã độc ngoại vi được sử dụng để thực thi SilentRaid trên hệ thống bị nhiễm
- SilentRaid (còn gọi là MystRodX), một C++-based implant thiết lập quyền truy cập liên tục vào các thiết bị đầu cuối bị xâm nhập và sử dụng phương pháp giống như plugin để giao tiếp với máy chủ bên ngoài, mở remote shell, thiết lập port forwarding và thực hiện các thao tác tệp
Đáng chú ý là một phân tích trước đó từ QiAnXin XLab đã gắn cờ MystRodX là một biến thể của ChronosRAT, một ELF binary dạng mô-đun có khả năng thực thi shellcode, quản lý tệp, keylogging, port forwarding, remote shell, chụp ảnh màn hình và proxy. Palo Alto Networks Unit 42 đang theo dõi cụm mối đe dọa liên quan dưới tên gọi CL-STA-0969.
Backdoor Bulbature và mối liên kết với các nhóm tấn công khác
UAT-7290 cũng triển khai một backdoor có tên Bulbature, được thiết kế để biến một thiết bị biên bị xâm nhập thành một ORBs. Nó được ghi nhận lần đầu bởi Sekoia vào tháng 10 năm 2024.
Công ty an ninh mạng này cho biết tác nhân đe dọa có những trùng lặp về chiến thuật và cơ sở hạ tầng với các kẻ thù liên kết với Trung Quốc được biết đến như Stone Panda và RedFoxtrot (còn gọi là Nomad Panda).
"Tác nhân đe dọa thực hiện trinh sát sâu rộng các tổ chức mục tiêu trước khi tiến hành các cuộc xâm nhập. UAT-7290 tận dụng các exploit 1-day và tấn công vét cạn SSH cụ thể để xâm nhập các thiết bị biên hướng ra công chúng nhằm giành quyền truy cập ban đầu và leo thang đặc quyền trên các hệ thống bị xâm nhập," các nhà nghiên cứu cho biết. "Tác nhân này dường như dựa vào mã exploit proof-of-concept có sẵn công khai thay vì tự phát triển."
