С 2024 года критическая телекоммуникационная инфраструктура Южной Америки подвергается масштабным атакам со стороны кибершпионской группировки, отслеживаемой под кодовым названием UAT-9244. Аналитики компании Cisco Talos, в частности исследователи Ашир Малхотра и Брэндон Уайт, выявили использование злоумышленниками трех ранее неизвестных вредоносных программ, нацеленных на системы Windows, Linux и сетевые пограничные устройства.
Специалисты связывают активность UAT-9244 с Китаем, что подтверждается наличием отладочных строк на упрощенном китайском языке в пользовательских бинарных файлах. Группировка имеет тесные связи с кластером FamousSparrow, который, в свою очередь, демонстрирует тактические совпадения с Salt Typhoon — другой шпионской организацией китайского происхождения, атакующей телеком-провайдеров. Однако на данный момент официальных и неопровержимых доказательств прямого объединения UAT-9244 и Salt Typhoon не существует, несмотря на схожие цели и географию атак.
Для компрометации систем под управлением Windows злоумышленники как минимум с ноября 2024 года применяют имплант TernDoor. Этот инструмент является эволюционной модификацией Crowdoor, который сам берет начало от вредоносного ПО SparrowDoor. Развертывание TernDoor осуществляется методом загрузки DLL: используется легитимный исполняемый файл "wsprint.exe", который подгружает вредоносную библиотеку "BugSplatRc64.dll", расшифровывающую и выполняющую финальную полезную нагрузку прямо в оперативной памяти.
После запуска TernDoor внедряет свой код в процесс "msiexec.exe", декодирует конфигурацию для извлечения параметров командно-контрольного сервера (C2) и устанавливает с ним связь. Это позволяет хакерам создавать новые процессы, выполнять произвольные команды, читать и записывать файлы, собирать информацию о системе и развертывать драйверы. Закрепление в системе достигается через создание запланированной задачи или добавление записи в ключ реестра Run.
В отличие от своего предшественника Crowdoor, TernDoor использует совершенно иной набор кодовых команд и содержит встроенный драйвер Windows. Этот драйвер позволяет вредоносу приостанавливать, возобновлять и завершать процессы, а также скрывать свои компоненты от средств защиты. Кроме того, TernDoor поддерживает только один ключ командной строки — "-u", который активирует функцию самоуничтожения, удаляя сам имплант и все связанные с ним артефакты.
Для атаки на серверы Linux и встраиваемые пограничные устройства применяется бэкдор PeerTime, также известный как angrypeer. Это ELF-приложение скомпилировано для работы на множестве архитектур, включая ARM, AARCH, PPC и MIPS. Вредонос развертывается с помощью скрипта оболочки совместно с инструментирующим бинарным файлом.
В процессе установки PeerTime проверяет наличие платформы Docker в системе, используя команды
Третьим элементом арсенала UAT-9244 является BruteEntry — сканер пограничных устройств, написанный на языке Golang. Его главная задача заключается в превращении скомпрометированных маршрутизаторов и серверов в узлы проксирования для массового сканирования в рамках архитектуры Operational Relay Box (ORB). BruteEntry специализируется на проведении атак методом подбора паролей (брутфорс) к серверам Postgres, SSH и Tomcat.
Процесс заражения BruteEntry начинается со скрипта оболочки, который доставляет в систему два компонента: оркестратор и сам сканер. BruteEntry связывается с сервером C2 для получения списка целевых IP-адресов, после чего начинает атаки и отправляет отчеты о попытках входа обратно на сервер. В этих отчетах поле "Success" возвращает значения true или false, а поле "notes" содержит специфическую информацию. Если попытка взлома оказалась неудачной, система отправляет сообщение: «Все учетные данные испробованы.»
Изображение носит иллюстративный характер
Специалисты связывают активность UAT-9244 с Китаем, что подтверждается наличием отладочных строк на упрощенном китайском языке в пользовательских бинарных файлах. Группировка имеет тесные связи с кластером FamousSparrow, который, в свою очередь, демонстрирует тактические совпадения с Salt Typhoon — другой шпионской организацией китайского происхождения, атакующей телеком-провайдеров. Однако на данный момент официальных и неопровержимых доказательств прямого объединения UAT-9244 и Salt Typhoon не существует, несмотря на схожие цели и географию атак.
Для компрометации систем под управлением Windows злоумышленники как минимум с ноября 2024 года применяют имплант TernDoor. Этот инструмент является эволюционной модификацией Crowdoor, который сам берет начало от вредоносного ПО SparrowDoor. Развертывание TernDoor осуществляется методом загрузки DLL: используется легитимный исполняемый файл "wsprint.exe", который подгружает вредоносную библиотеку "BugSplatRc64.dll", расшифровывающую и выполняющую финальную полезную нагрузку прямо в оперативной памяти.
После запуска TernDoor внедряет свой код в процесс "msiexec.exe", декодирует конфигурацию для извлечения параметров командно-контрольного сервера (C2) и устанавливает с ним связь. Это позволяет хакерам создавать новые процессы, выполнять произвольные команды, читать и записывать файлы, собирать информацию о системе и развертывать драйверы. Закрепление в системе достигается через создание запланированной задачи или добавление записи в ключ реестра Run.
В отличие от своего предшественника Crowdoor, TernDoor использует совершенно иной набор кодовых команд и содержит встроенный драйвер Windows. Этот драйвер позволяет вредоносу приостанавливать, возобновлять и завершать процессы, а также скрывать свои компоненты от средств защиты. Кроме того, TernDoor поддерживает только один ключ командной строки — "-u", который активирует функцию самоуничтожения, удаляя сам имплант и все связанные с ним артефакты.
Для атаки на серверы Linux и встраиваемые пограничные устройства применяется бэкдор PeerTime, также известный как angrypeer. Это ELF-приложение скомпилировано для работы на множестве архитектур, включая ARM, AARCH, PPC и MIPS. Вредонос развертывается с помощью скрипта оболочки совместно с инструментирующим бинарным файлом.
В процессе установки PeerTime проверяет наличие платформы Docker в системе, используя команды
docker и docker –q. Если Docker обнаружен, запускается загрузчик PeerTime, который расшифровывает и распаковывает финальную полезную нагрузку в память. Исследователи обнаружили две версии этого бэкдора: более старую, написанную на C/C++, и новую вариацию на языке Rust. Для обхода обнаружения PeerTime переименовывает свой процесс под безобидное системное имя и использует протокол BitTorrent для получения данных C2, загрузки файлов от других узлов сети и их выполнения. Третьим элементом арсенала UAT-9244 является BruteEntry — сканер пограничных устройств, написанный на языке Golang. Его главная задача заключается в превращении скомпрометированных маршрутизаторов и серверов в узлы проксирования для массового сканирования в рамках архитектуры Operational Relay Box (ORB). BruteEntry специализируется на проведении атак методом подбора паролей (брутфорс) к серверам Postgres, SSH и Tomcat.
Процесс заражения BruteEntry начинается со скрипта оболочки, который доставляет в систему два компонента: оркестратор и сам сканер. BruteEntry связывается с сервером C2 для получения списка целевых IP-адресов, после чего начинает атаки и отправляет отчеты о попытках входа обратно на сервер. В этих отчетах поле "Success" возвращает значения true или false, а поле "notes" содержит специфическую информацию. Если попытка взлома оказалась неудачной, система отправляет сообщение: «Все учетные данные испробованы.»
