Нови видове зловреден софтуер компрометират Windows, Linux и мрежови устройства

Свързан с Китай advanced persistent threat (APT), проследяван като UAT-9244, атакува телекомуникационни доставчици в Южна Америка поне от 2024 г., като компрометира Windows, Linux и edge мрежови устройства.

Разследване на експерти от Cisco Talos показва, че групата има силни връзки с китайските хакерски колективи FamousSparrow и Tropic Trooper, макар че се разглежда като отделен клъстер на активност.

Според изследователите оценката е направена с висока степен на увереност, базирана на сходни:

• инструменти

• техники и тактики (TTPs)

• профил на жертвите

Наблюдаваните атаки имат сходна целева група и с друг китайски APT клъстер – Salt Typhoon, но връзка между тях засега не е потвърдена.

Нови зловредни програми, насочени към телеком мрежи

В кампанията са използвани три нови семейства малуер, които досега не са били публично документирани:

• TernDoor – backdoor за Windows

• PeerTime – Linux backdoor, използващ BitTorrent

• BruteEntry – инструмент за brute-force атаки и изграждане на прокси инфраструктура

TernDoor – бекдор за Windows

TernDoor се инсталира чрез техника DLL side-loading, използвайки легитимния файл:

Той зарежда злонамерена библиотека BugSplatRc64.dll, която декриптира и стартира крайния полезен товар в паметта на процеса msiexec.exe.

Малуерът съдържа и драйвер за Windows – WSPrint.sys, който позволява:

• прекратяване на процеси

• временно спиране или възобновяване на процеси

• контрол върху системни задачи

Постоянството в системата се постига чрез:

• Scheduled Tasks

• промени в Windows Registry

TernDoor позволява още:

• отдалечено изпълнение на команди

• стартиране на произволни процеси

• четене и запис на файлове

• събиране на системна информация

• самостоятелно деинсталиране

PeerTime – Linux бекдор с BitTorrent комуникация

PeerTime е ELF-базиран бекдор за Linux, разработен за множество архитектури:

• ARM

• AARCH

• PPC

• MIPS

Това предполага, че е предназначен за вградени системи и мрежови устройства, често използвани в телекомуникационната инфраструктура.

Изследователите откриват две версии на малуера:

• написана на C/C++

• написана на Rust

Наличието на debug съобщения на опростен китайски допълнително подсказва произхода му.

PeerTime използва BitTorrent протокола за комуникация със сървъри за командване и контрол (C2). Чрез peer-to-peer връзки той:

• изтегля нови полезни товари

• изпълнява команди

• записва файлове чрез инструмента BusyBox

BruteEntry – инструмент за сканиране и прокси мрежи

Третият инструмент – BruteEntry – е разработен на Go и се използва за изграждане на инфраструктура от компрометирани устройства.

Заразени машини се превръщат в така наречените Operational Relay Boxes (ORBs) – прокси възли, използвани за:

• сканиране на нови цели

• brute-force атаки

• прикриване на следите на нападателите

BruteEntry се опитва да пробие достъп до услуги като:

• SSH

• PostgreSQL

• Apache Tomcat

Резултатите от опитите за вход се изпращат обратно към C2 сървъра, заедно със статус на задачата и бележки.

Предупреждение към телеком операторите

В своя технически доклад експертите от Cisco Talos публикуват и индикатори за компрометиране (IoCs), които могат да помогнат на защитните екипи да:

• откриват атаки в ранна фаза

• блокират комуникацията с инфраструктурата на нападателите

• идентифицират заразени системи

Кампанията показва, че телекомуникационните оператори остават ключова стратегическа цел за държавно подкрепени кибершпионски операции.