中国関連のハッカーが通信会社を標的とした新しいマルウェア攻撃

概要

セキュリティ研究者らは、2024年から南米の通信インフラを標的とした中国関連の脅威アクターであるUAT-9244について、高い確信を持って報告しています。このAPTグループは、WindowsとLinuxのマルウェアを組み合わせて、エンドポイントとネットワークエッジデバイスに侵入します。

UAT-9244は、異なる部分のインフラストラクチャを侵害するための3つの異なるマルウェアインプラントに依存しています。

TernDoor：これは、CrowDoorの古いマルウェアの新しい変種であるカスタムWindowsバックドアです。
PeerTime：これは、Linuxと組み込みシステム向けに設計されたELFベースのバックドアで、ARMとMIPSなどのさまざまなアーキテクチャを対象としています。
BruteEntry：これは、GoLangベースのブルートフォーススキャナで、ネットワークエッジデバイスにインストールされ、それらをオペレーションリレーボックス（ORB）に変換します。

脅威アクターは、特定の展開メカニズムを使用して、マルウェアが隠れて持続するようにしています。

Windowsシステム：TernDoorで感染したWindowsシステムでは、UAT-9244はスケジュールされたタスクを作成したり、レジストリのRunキーを変更することで持続性を確立します。
Linux環境：攻撃者は、簡易中国語のデバッグ文字列を含むカスタムシェルスクリプトを使用してPeerTimeを展開します。
BruteEntryスキャナ：このスキャナは、C2サーバーからターゲットリストを受け取り、SSH、Postgres、およびTomcatサーバーに対して大量の自動化されたスキャンを実行します。

UAT-9244は、Windows向けのTernDoorバックドア、BitTorrentドライブドのPeerTimeネットワーク、およびBruteEntryの大量スキャンプロキシ機能を組み合わせることで、通信環境を侵害するための効果的で巧妙なインフラストラクチャを構築しています。

元記事: https://gbhackers.com/china-nexus-hackers-target-telecommunication-providers/