Seit 2024 hat sich ein hartnäckiger Schauspieler, der mit China verbunden ist, der von Forschern als UAT-9244 identifiziert wurde, auf Telekommunikationsdienstleister in Südamerika konzentriert und sowohl Windows- als auch Linux-Geräte und Geräte am Rande des Netzwerks verpflichtet. Die Fähigkeit, auf mehreren Systemen und Architekturen zu arbeiten, zeigt die Planung, kritische Infrastruktur im Kommunikationssektor anzugreifen, ein strategisches Ziel, das die Auswirkungen eines Eindringens verstärken kann.
Das Cisco Talos-Forschungsteam, das dieser Aktivität folgt, stellt fest, dass UAT-9244 Werkzeuge, Taktiken und Opferprofile mit Gruppen, die als FamousSparrow und Trooper bekannt sind, teilt, obwohl sie es vorziehen, diese Operationen als eigenständiges Cluster zu verfolgen. Analysten betrachten diese Zuschreibung mit einem hohen Maß an Vertrauen, aber gleichzeitig warnen sie, dass trotz der Ähnlichkeit in Zielen mit anderen Kollektiven wie Salt Typhoon, gibt es keine endgültigen Beweise, dass alle diese Kampagnen zu einem einzigen Schauspieler vereint. Für diejenigen, die die ursprüngliche technische Analyse und die von den Forschern veröffentlichte IoC lesen möchten, ist der Talos-Bericht hier verfügbar: Cisco Talos - Bericht UAT-9244.
Die Kampagne zeichnet sich durch das Auftreten von drei Malware-Familien aus, die bisher nicht öffentlich dokumentiert wurden. In Windows-Umgebungen erscheint eine Hintertür, die Forscher TernDoor nennen. Diese Bedrohung nutzt eine Technik von DLL ide-loading, um bösartigen Code aus einer Buchhandlung, die scheint legitim zu sein und, einmal im System, injizieren die endgültige Last in Vertrauen Prozesse. Es enthält auch eine selbstständige Geräte-Controller, die es Ihnen erlaubt, Prozessausführung auf Wunsch zu verwalten - Stoppen, Suspendieren und Wiederaufnahme Prozesse - und schafft Beharrlichkeit durch programmierte Aufgaben und Änderungen an der Windows-Registrierung, die versuchen, ihre Spuren zu verbergen. Seine Fähigkeiten umfassen Remote-Befehlsausführung, Dateihandling, Systeminformationserfassung und die Möglichkeit, kontrolliert deinstalliert zu werden.
Auf der Linux-Seite lenkt die Familie namens PeerTime darauf hin, für eine breite Palette von Architekturen entwickelt worden zu sein - ARM, AARCH, PPC und MIPS - was ein klares Ziel anzeigt: eingebettete Geräte und Netzwerkausrüstungen, die in Telekommunikationsumgebungen eingebunden sind. PeerTime wird in zwei Varianten - eine in C / C + + und eine in Rust - verteilt und verwendet eine unkonventionelle Methodik für seinen Befehls- und Steuerkanal: das BitTorrent-Protokoll. Dies ermöglicht es Ihnen, im Peer-to-Peer-Modus zu kommunizieren, laden und laufen Lasten von anderen Paaren, und verwenden Sie gemeinsame Nutzungen in eingebetteten Systemen, wie BusyBox, um Dateien im Host zu schreiben. Forscher haben auch vereinfachte chinesische Debugging-Ketten in Malware-assoziierten Instrumentatoren beobachtet, ein zusätzlicher Hinweis auf den möglichen Ursprung der Gewinne, die von den Angreifern verwendet werden.
Füllen Sie das Trio ein Werkzeug namens BruteEntry, das einen binären Instrumentator in Go und ein Bruttokraftmodul enthält. Ziel dieses Stücks ist es, bereits an Scan- und Bedienknoten gebundene Geräte, die von Angreifern als Operational Relay Boxes (ORBs) aufgerufen werden, zu konvertieren. Aus diesen Knoten wird das Kehren auf der Suche nach neuen Zielen durchgeführt und versucht, auf Dienste wie SSH, Postgres-Datenbanken und Tomcat-Server zuzugreifen. Die Ergebnisse der Zugriffsversuche werden zusammen mit dem Status der Aufgaben wieder an den Befehl und die Steuerung der Kampagne gemeldet.
Die Kombination dieser drei Familien stellt eine Angriffstafel dar, in der ein anfängliches Eindringen in Kanteneinrichtungen diese Geräte schnell in Erkennungs- und Schwenkplattformen verwandeln kann, ein Netzwerk von Proxien, die es schwieriger zuzuordnen und die Operation enthalten. Die Verwendung von P2P-Protokollen wie BitTorrent für die Befehls- und Steuerungskommunikation und die Schaffung von ORB-Infrastruktur sind Taktiken, die darauf abzielen, die Widerstandsfähigkeit der Kampagne zur Erkennung und Blockierung von Bemühungen zu erhöhen.
Für Sicherheitsteams von Telekommunikationsbetreibern bietet diese Forschung praktische Hinweise: um Telemetrie im Zusammenhang mit ungewöhnlichen Systemprozessausführungen zu überprüfen, um nach Anzeichen von DLL ide-loading zu suchen und geplante Aufgaben und verdächtige Änderungen der Windows-Registry zu überwachen, die Beharrlichkeit zu verbergen versuchen. In Linux-Umgebungen und in Embedded-Geräten ist es angebracht, auf Prozesse zu achten, die umbenannt werden, um Legitimität, anomale BusyBox-bezogene Aktivität und BitTorrent-Verkehr mit ungewöhnlichen Mustern in Geräten erscheinen, die nicht an P2P-Netzwerken teilnehmen sollten. Darüber hinaus kann das Vorhandensein massiver Versuche zur fehlgeschlagenen Authentifizierung gegen SSH, Postgres oder Tomcat ein frühes Zeichen von Maschinen sein, die für die grobe Kraft verwendet werden. Cisco Talos enthält in seinem Bericht Verpflichtungsindikatoren, die Antwortteams als Ausgangspunkt für die Erkennung und Blockierung dieser Intrusionen nutzen können: IoC und technische Analyse in Spanien.
Über die unmittelbare technische Reaktion hinaus, so setzen solche Kampagnen wieder auf den Tisch, die Notwendigkeit, die Cyber-Resilienz des Kommunikationssektors zu stärken. Dienstleister sollten die Netzwerksegmentierung stärken, strenge Zugangskontrollen anwenden, eine Multi-Faktor-Authentifizierung für kritische Administration und Dienstleistungen benötigen, Edge-Gerätekonfigurationen verschärfen und eine aktive Patching-Politik beibehalten. Für diejenigen, die kritische Infrastruktur verwalten, ist es nützlich, offizielle Ressourcen zum Schutz des Kommunikationssektors und gute Sicherheitspraktiken zu konsultieren: die US-Infrastruktur und Cybersecurity Security Agency. Die Vereinigten Staaten halten Anleitungen und Mitteilungen für den Kommunikationssektor aufrecht, die als operative Referenz dienen können: CISA - Kommunikationssektor.
Die Geheimdienst- und Antwortteams verfügen ihrerseits über Frameworks wie MITRE ATT & CK, um beobachtete Techniken zu korrelieren und Erkennungsregeln zu bereichern. Die von Talos beschriebenen Techniken von Persistenz, Evasion und Intrusion helfen, Beobachtungen in praktischen Erkennungen und prioritären Minderungen zu kartieren: MITRE ATT & CK.
Die Entstehung von UAT-9244 und seinen Werkzeugen bestätigt, dass die Angreifer weiterhin innovativ sind, ihre Arsenals anpassen, um heterogene Geräte zu kompromittieren und weniger konventionelle Kommunikationskanäle zu verwenden. Die Lektion für die Betreiber und Sicherheitsbeamten ist klar: die Angriffsfläche hat sich erweitert und die Verteidigung muss sich entsprechend weiterentwickeln, Sichtbarkeit, Zugangskontrolle und Reaktion auf anormales Verhalten in der gesamten Infrastrukturkette stärken.
Sicherheitswarnung Droge kritische Schwachstelle der SQL-Injektion in PostgreSQL erfordert sofortige Aktualisierung
Drucal hat Sicherheitsupdates für eine Sicherheitsanfälligkeit veröffentlicht, die als "hochkritisch" die Auswirkungen Drumal Core und ermöglicht es einem Angreifer, willkürlich...
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...