In dem, was bereits als eine weitere Kampagne auf das Rückgrat der Kommunikation aufgetreten ist, haben Forscher von Cisco Talos seit 2024 eine Reihe von Intrusionen auf Telekommunikationsanbieter in Südamerika entdeckt. Der von Talos als UAT-9244 identifizierte Gegner stellt Tools zur Infiltrierung von Windows-Servern, eingebetteten Linux-Systemen und Netzwerkrand-Ausrüstungen bereit., die nicht nur die Vertraulichkeit der Daten, sondern die Verfügbarkeit kritischer Dienste, die von dieser Infrastruktur abhängen, gefährdet.
Der Bericht von Talos, öffentlich zugänglich, beschreibt drei Familien von Implantaten, die bisher nicht dokumentiert waren und auf unterschiedlichen Ebenen des Ökosystems wirken: eine Hintertür für Windows-Maschinen, eine Hintertür für Linux mit Peer-to-Peer-Architektur und einen groben Kraftscanner, der entwickelt wurde, um Edge-Geräte in Angriffsknoten umzuwandeln. Sie können die technische Analyse im Blog von Cisco Talos sehen, um die Indikatoren und die vollständigen Beobachtungen zu sehen: https: / / blog.talosintelligence.com / uat-9244 /.
Unter Windows erscheint die Bedrohung unter dem Namen TernDoor. Die vom Angreifer gewählte Technik ist es, eine böswillige Buchhandlung mittels eines legitimen Systemlaufs zu laden - eine Methode, die als DLL-Seitenrolling bekannt ist - unter Ausnutzung des binären Wsprints. exe, um eine gebrochene DLL zu betreiben, die die letzte Nutzlast im Speicher deaktiviert und startet. Um im System zu bleiben, verwendet die Probe traditionelle Persistenzmechanismen wie programmierte Aufgaben oder Einträge im Registry's Run Schlüssel. Darüber hinaus enthält diese Hintertür einen Treiber (Treiber) entwickelt, um Prozesse zu suspendieren, wieder aufzunehmen oder zu komplettieren, und hat einen Deinstallationsschalter, der Ihre Geräte gelöscht, wenn aufgerufen.
In der Linux-Welt ist das zentrale Stück PeerTime, eine Hintertür mit einem bemerkenswert flexiblen Design: Es ist für Architekturen wie ARM, AARCH64, PowerPC und MIPS zusammengestellt, um Router, Gateways und andere eingebettete Systeme abzudecken. Der Einsatz umfasst in der Regel einen binären Instrumentator, der Dockers Präsenz vor dem Laden des PeerTime-Ladegeräts überprüft und sogar vereinfachte chinesische Reinigungsketten enthält, ein Detail, das die Aufmerksamkeit der Analysten angezogen hat. Der Loader entschlüsselt und dekomprimiert die Nutzlast im Speicher und die Steuerkommunikation verwendet einen Peer-to-Peer-Mechanismus basierend auf dem BitTorrent-Protokoll, um Befehls- und Steuerinformationen zu verbreiten und zusätzliche Module von anderen kompromittierten Knoten zu erhalten.
Schließlich legen die Angreifer an der Peripherie des Netzes eine Komponente namens BruteEntry auf. Es handelt sich um eine Reihe von Skripten und Go-Binaries, die Router und Edge-Geräte in dem verwandeln, was Forscher eine Operational Relay Box (ORB) nennen: Knoten, die Massen scannen und brutale Angriffe auf Dienste wie Postgres, SSH oder Tomcat Server ausführen. Der von Talos beschriebene Workflow zeigt einen Orchestrator, der den Scanner liefert und den Kontroll- und Kontrollserver mit der Zielliste konsultiert; wenn der Anmeldewert gültig ist, wird das Ergebnis für den Betrieb zurückgemeldet.
Talos weist auch auf taktische Überschneidungen mit einem anderen als FamousSparrow identifizierten Cluster und mit der Gruppe namens Salt Typhoon, bekannt für sein Interesse an Telekommunikationsbetreibern, obwohl Forscher deutlich machen, dass es keine eindeutigen Beweise dafür gibt, dass es genau derselbe Schauspieler ist. Dieses Detail spiegelt eine problematische Realität wider: verschiedene Teams mit ähnlichen Fähigkeiten und ähnlichen Zielen können parallel oder Austausch-Tools arbeiten, die schnelle und sichere Kräfte komplizieren.
Der initiale Eingabevektor ist nicht vollständig in dem Bericht etabliert, aber die Präzedenzfälle dieses Aktors und ähnliches legen nahe, dass veraltete Systeme - beispielsweise Windows-Server oder exponierte Instanzen von Microsoft Exchange - häufige Ziele für die Bereitstellung von Web-Shells und Skalierungsaktivität waren. Also, die Risikooberfläche bleibt gleich: Nicht-Patch-Software, schlecht konfigurierte Kanteneinrichtungen und freiliegende Verwaltungskanäle.
Aus einer operativen Perspektive kombiniert die Kampagne traditionelle und einige hochrangige Techniken: Speicherladung und die Verwendung von Windows versteckten Treibern, BitTorrents Verwendung von Linux, um die Befehlslieferung zu dezentralisieren, und die Ausnutzung von Edge-Geräten, um Scannen und brutale Angriffe zu verstärken. Diese Kreuzung von Ansätzen macht die Erkennung nicht trivial; viele der anomalen Signale können mit legitimem Verkehr oder mit schlecht konfigurierten Remote-Management-Tools verwechselt werden.
Für diejenigen, die Telekommunikationsnetze verwalten - oder irgendeine kritische Infrastruktur - bedeutet dies, dass mehrere Schichten gleichzeitig gestärkt werden müssen: die Aufrechterhaltung vollständig aktueller Systeme, die Segmentierung des Management-Verkehrs, die Verschärfung von Anmeldeinformationen und Remote-Zugang und die Anwendung von Verhaltenssteuerungen, die die Codeausführung im Speicher erkennen, abnormale Belastungen durch legitime Prozesse wie z.B. Wsprint. exe oder msiexec.exe und unerwartete BitTorrent-Kommunikation von Geschäftsservern. Es ist auch wichtig, Edge-Geräte zu prüfen und zu schützen; es sind genau jene Teams, die bei der Verpflichtung Hebel werden können, um Angriffe oder Relais auf Massenkampagnen zu skalieren.
Wenn Sie diese Art von Bedrohung innerhalb eines größeren Rahmens von Taktiken und Techniken kontextualisieren wollen, ist die MITRE ATT & CK-Matrix ein guter Hinweis darauf, die üblichen Techniken, die von hartnäckigen Akteuren verwendet werden, zu verstehen; ihr Material hilft Kartendetektionen und Kontrollen gegen Taktiken wie seitliche Belastung von Buchhandlungen, Beharrlichkeit oder Verwendung nicht konventioneller Protokolle für C2: https: / / attack.mitre.org /. Für eine umfassendere Vision von Bedrohungen darüber, wie Gegner auf kritische Sektoren hinweisen, Berichte von Cyber-Sicherheitsbehörden und Agenturen wie die Agentur der Europäischen Union für Cybersicherheit (ENISA) bieten jährliche Analyse und nützliche Empfehlungen: http://www.enisa.europa.eu.
Kurz gesagt, die Feststellung von Talos unterstreicht, dass Telekommunikationsdienstleister weiterhin attraktive Ziele für Gruppen mit Ressourcen bleiben. Der Austausch von Werkzeugen und die Wiederverwendung von Taktiken zwischen Clustern machen die Verteidigung dieser Netzwerke proaktiv, in Schichten und bereit, Verhaltensweisen jenseits nur bekannter Signaturen zu erkennen. Und während technische Forschungen wie Cisco hilft, bestimmte Indikatoren zu identifizieren, geht echte Minderung durch die Aufrechterhaltung der Cyber-Sicherheitshygiene, die Sichtbarkeit über den Verkehr und die Ausführung von Speichern und Reaktionsverfahren, die es ermöglichen, begangene Knoten zu neutralisieren, bevor sie breiter Angriffsplattformen werden.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...