新たな脅威「UAT-7290」の台頭
Cisco Talosは、中国と関連する新たな脅威アクター「UAT-7290」が、Linuxベースのマルウェアを使い通信事業者を標的にしていると報告しました。この集団は、2022年以降活動しており、以前は南アジアの通信事業者に焦点を当てたサイバー諜報活動を行っていましたが、最近では南東ヨーロッパの組織にもその活動範囲を広げています。
UAT-7290は、攻撃中にOperational Relay Box (ORB)インフラを構築することで、他の中国系脅威アクターに対する初期アクセスブローカーとしての役割も果たしているとCisco Talosは指摘しています。
攻撃手法と特徴
研究者によると、UAT-7290は侵入前に広範な偵察活動を行い、カスタムマルウェアとオープンソースマルウェア、そしてエッジネットワークデバイスにおける既知の脆弱性に対する公開エクスプロイトを組み合わせて使用します。
Cisco Talosは、「UAT-7290は、ワンデーエクスプロイトと標的を絞ったSSHブルートフォースを利用して、公開されているエッジデバイスを侵害し、初期アクセスを獲得し、侵害されたシステム上で権限昇格を行っている」と述べています。
UAT-7290のマルウェア兵器
UAT-7290は主にLinuxベースのマルウェアスイートを使用しますが、RedLeavesやShadowPadといったWindowsインプラントも時折展開しています。Ciscoは以下のLinuxマルウェアファミリーをUAT-7290に関連付けています。
- RushDrop (ChronosRAT): 感染チェーンを開始する初期ドロッパー。基本的なアンチVMチェックを実行し、隠しディレクトリを作成・検証後、3つのバイナリ(DriveSwitch、SilentRaid、busybox)をデコードします。
- DriveSwitch: RushDropによって投下される周辺コンポーネントで、主にSilentRaidインプラントを侵害されたシステムで実行する役割を担います。
- SilentRaid (MystRodX): C++で記述された主要な永続的インプラントで、プラグインベースの設計を特徴とします。基本的なアンチ分析チェック、Google Public DNSリゾルバを使用したC2ドメイン解決、リモートシェルアクセス、ポートフォワーディング、ファイル操作、ディレクトリアーカイブ、/etc/passwdへのアクセス、X.509証明書属性の収集をサポートします。
- Bulbature: Sekoiaによって以前に文書化されたLinuxベースのUPXパックされたインプラントで、侵害されたデバイスをOperational Relay Box (ORB)に変換するために使用されます。設定可能なポートでリッスンし、リバースシェルを開き、/tmp/*.cfgにC2設定を保存し、C2ローテーションをサポートし、自己署名TLS証明書を使用します。
今後の対策と注意喚起
Cisco Talosのレポートは、UAT-7290が使用するマルウェアに関する技術的な詳細と、組織がこの脅威アクターから防御するための侵害指標(IoC)リストを提供しています。通信事業者を含む各組織は、これらの情報を活用し、セキュリティ対策を強化することが求められます。