Ένας παράγοντας προηγμένης επίμονης απειλής που συνδέεται με την Κίνα στοχεύει ενεργά παρόχους τηλεπικοινωνιών σε ολόκληρη τη Νότια Αμερική από το 2024, αναπτύσσοντας τρία νέα εμφυτεύματα κακόβουλου λογισμικού για να αποκτήσει βαθιά πρόσβαση σε κρίσιμης σημασίας υποδομή δικτύου.
Η ομάδα, η οποία παρακολουθείται ως UAT-9244, λειτουργεί τόσο έναντι τερματικών σημείων που βασίζονται σε Windows και Linux, καθώς και σε συσκευές αιχμής δικτύου — το ενσωματωμένο υλικό από το οποίο εξαρτώνται οι πάροχοι τηλεπικοινωνιών για τη δρομολόγηση και τη διαχείριση των επικοινωνιών.
Αυτό που κάνει αυτή την καμπάνια να ξεχωρίζει δεν είναι μόνο ποιος στοχεύεται, αλλά πόσο μεθοδικά οι εισβολείς δημιούργησαν μια εργαλειοθήκη για να συμβιβαστούν, να επιμείνουν και να επεκτείνουν την εμβέλειά τους.
Το οπλοστάσιο του UAT-9244 αποτελείται από τρία εργαλεία κακόβουλου λογισμικού, το καθένα κατασκευασμένο για διαφορετικό ρόλο. Το TernDoor είναι μια κερκόπορτα των Windows και μια νέα παραλλαγή του προηγουμένως τεκμηριωμένου κακόβουλου λογισμικού CrowDoor.
Το PeerTime είναι ένα backdoor που βασίζεται σε Linux που αξιοποιεί το πρωτόκολλο BitTorrent για την επικοινωνία και την εκτέλεση εργασιών σε μολυσμένα συστήματα — μια ασυνήθιστη προσέγγιση που επιτρέπει στην κακόβουλη κυκλοφορία να συνδυάζεται με την τακτική peer-to-peer δραστηριότητα στο δίκτυο.
Το τρίτο εργαλείο, το BruteEntry, μετατρέπει συσκευές παραβιασμένης ακμής σε λειτουργικά κουτιά αναμετάδοσης (ORB), τα οποία κατευθύνονται σε διακομιστές brute-force SSH, PostgreSQL και Apache Tomcat, δίνοντας στους επιτιθέμενους μια συνεχώς διευρυνόμενη βάση.
Οι ερευνητές της Cisco Talos αναγνώρισαν το UAT-9244 και αξιολόγησε με μεγάλη σιγουριά ότι η ομάδα αλληλεπικαλύπτεται στενά με τα FamousSparrow και Tropic Trooper, δύο γνωστά China-nexus APT.
Αυτό το συμπέρασμα βασίζεται σε κοινά εργαλεία, επικαλυπτόμενες τακτικές και παρόμοια στόχευση θυμάτων και στις τρεις ομάδες. Το TernDoor ανιχνεύει την καταγωγή του από το CrowDoor έως το SparrowDoor, μια κερκόπορτα που αποδίδεται εδώ και πολύ καιρό στον FamousSparrow.
Επιπλέον, το δυαδικό εργαλείο PeerTime περιέχει συμβολοσειρές εντοπισμού σφαλμάτων γραμμένες σε Απλοποιημένα Κινεζικά, παρέχοντας έναν ισχυρό γλωσσικό δείκτη που συνδέει την καμπάνια απευθείας με κινεζόφωνους χειριστές απειλών.
Το εύρος αυτής της πράξης είναι σημαντικό για τον τομέα των τηλεπικοινωνιών. Οι ερευνητές του Talos βρήκαν ένα κοινό πιστοποιητικό SSL που συνδέεται με 18 διευθύνσεις IP που πιθανότατα χρησιμοποιούνται από την υποδομή εντολών και ελέγχου του UAT-9244, αποκαλύπτοντας ένα ευρύ και καλά εξοπλισμένο δίκτυο.
Ενώ τόσο το UAT-9244 όσο και το Salt Typhoon που παρακολουθούνται χωριστά στοχεύουν παρόχους τηλεπικοινωνιών, ο Talos δεν έχει επιβεβαιώσει μια άμεση σύνδεση μεταξύ των δύο ομάδων.
Ακόμα κι έτσι, το μοτίβο πολλών παραγόντων που ευθυγραμμίζονται με την Κίνα που επικεντρώνονται στην τηλεπικοινωνιακή υποδομή υπογραμμίζει πόσο πολύτιμα είναι αυτά τα δίκτυα για τη συλλογή πληροφοριών που χρηματοδοτείται από το κράτος.
TernDoor’s Infection Chain and Persistence Tactics
Η ανάπτυξη του TernDoor ξεκινά με την πλευρική φόρτωση DLL, όπου ένα καλοήθους εκτελέσιμο αρχείο των Windows με το όνομα wsprint.exe χρησιμοποιείται για τη φόρτωση ενός κακόβουλου αρχείου που ονομάζεται BugSplatRc64.dll.
Αυτός ο φορτωτής διαβάζει ένα κωδικοποιημένο αρχείο από το δίσκο και το αποκρυπτογραφεί χρησιμοποιώντας το σκληρό κωδικό κλειδί qwiozpVngruhg123στη συνέχεια εκτελεί τον κώδικα φλοιού που προκύπτει εξ ολοκλήρου στη μνήμη, όπως φαίνεται στο.
.webp.jpeg)
Η εκτέλεση του ωφέλιμου φορτίου στη μνήμη αντί της εγγραφής του στο δίσκο επιτρέπει στον εισβολέα να παρακάμψει μεθόδους ανίχνευσης που βασίζονται σε αρχεία, στις οποίες βασίζονται παραδοσιακά τα εργαλεία ασφαλείας.
Μόλις ενεργοποιηθεί, ο shellcode αποσυμπιέζεται και εκκινεί το TernDoor, το οποίο εγχέεται στη νόμιμη διαδικασία των Windows msiexec.exe — μια σκόπιμη επιλογή για απόκρυψη της παρουσίας του στη συμπεριφορά ρουτίνας του συστήματος.
Στη συνέχεια, το εμφύτευμα αποκωδικοποιεί την εσωτερική του διαμόρφωση, η οποία περιέχει τη διεύθυνση IP C2, τον αριθμό επαναλήψεων προσπαθειών, τον αριθμό θύρας και μια προσαρμοσμένη συμβολοσειρά User-Agent για εξερχόμενη επικοινωνία.
.webp.jpeg)
Από αυτό το σημείο, το TernDoor μπορεί να εκτελεί απομακρυσμένες εντολές, να διαβάζει και να γράφει αρχεία, να συλλέγει λεπτομέρειες συστήματος και να επικοινωνεί πίσω με τον χειριστή του.
Για να επιβιώσει στις επανεκκινήσεις, το TernDoor δημιουργεί μια προγραμματισμένη εργασία με το όνομα “WSPrint” και στη συνέχεια αλλάζει τα κλειδιά μητρώου που συνδέονται με αυτήν την εργασία για να την αποκρύψει από τις τυπικές προβολές συστήματος.
Ορίζει επίσης ένα κλειδί Registry Run για επανεκκίνηση του κακόβουλου λογισμικού σε κάθε σύνδεση χρήστη, διατηρώντας ταυτόχρονα δύο ξεχωριστές διαδρομές επιμονής. Το TernDoor προσθέτει επιπλέον ένα πρόγραμμα οδήγησης των Windows με το όνομα WSPrint.sys και το ενεργοποιεί ως υπηρεσία συστήματος.
.webp.jpeg)
Αυτό το πρόγραμμα οδήγησης δημιουργεί μια εικονική συσκευή που χρησιμοποιεί το TernDoor για την αναστολή, τη συνέχιση ή τον τερματισμό διεργασιών — μια άμεση μέθοδος για την απενεργοποίηση των ενεργών εργαλείων ασφαλείας στο ίδιο μηχάνημα.
Οι ομάδες ασφαλείας θα πρέπει να ελέγχουν τις προγραμματισμένες εργασίες και τα κλειδιά εκτέλεσης μητρώου για μη εξουσιοδοτημένες καταχωρήσεις, να παρακολουθούν για συμβάντα πλευρικής φόρτωσης DLL στους καταλόγους εφαρμογών και να περιορίζουν την εκτέλεση του προγράμματος οδήγησης του πυρήνα χωρίς υπογραφή.
Αποκλεισμός γνωστών περιοχών IP UAT-9244 C2 και ανάπτυξη υπογραφών ClamAV — συμπεριλαμβανομένων Win.Malware.TernDoor, Unix.Malware.BruteEntryκαι Unix.Malware.PeerTime — παράλληλα με τον κανόνα SNORT SID 65551, συνιστάται ανεπιφύλακτα για την προστασία της τηλεπικοινωνιακής υποδομής από αυτήν την απειλή.
