Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Нови хакери поврзани со Кина пробиваат телекомуникациски компании преку експлоатирање на edge уреди

Објавено: 09.01.2026

Софистициран заканувачки актер кој користи Linux-базиран малициозен софтвер за таргетирање на телекомуникациски провајдери неодамна ги проширил своите операции и кон организации во Југоисточна Европа.

Интерно следен од Cisco Talos како UAT-7290, овој актер покажува силни индикатори за поврзаност со Кина и најчесто се фокусира на телекомуникациски компании во Јужна Азија во рамки на кибершпионски операции.

Активна најмалку од 2022 година, групата UAT-7290 дејствува и како група за иницијален пристап, воспоставувајќи инфраструктура од типот Operational Relay Box (ORB) за време на нападите, која потоа ја користат и други заканувачки актери усогласени со Кина.

Според истражувачите, хакерите спроведуваат обемно извидување пред пробивот и распоредуваат комбинација од сопствен и open-source малициозен софтвер, како и јавни експлоити за познати ранливости во edge мрежни уреди.

„UAT-7290 користи one-day експлоити и SSH brute-force напади специфични за целта за да компромитира јавно достапни edge уреди, со цел да добие иницијален пристап и да ескалира привилегии на компромитираните системи“, соопшти Cisco Talos во денешниот извештај.

Арсеналот на UAT-7290

UAT-7290 првенствено користи Linux-базиран малициозен софтвер, со повремено распоредување на Windows импланти како RedLeaves и ShadowPad, кои се широко споделени меѓу повеќе актери поврзани со Кина.

Cisco ги истакнува следниве Linux семејства на малициозен софтвер поврзани со UAT-7290:

  • RushDrop (ChronosRAT) – Почетен dropper кој ја започнува инфекциската низа. Извршува основни anti-VM проверки, креира или проверува скриен директориум .pkgdb и декодира три вградени бинарни фајлови: daytime (DriveSwitch извршувач), chargen (SilentRaid имплант) и busybox, легитимна Linux алатка злоупотребена за извршување команди.
  • DriveSwitch – Помошна компонента испуштена од RushDrop, чија примарна функција е да го изврши SilentRaid имплантот на компромитираниот систем.
  • SilentRaid (MystRodX) – Главниот перзистентен имплант, напишан во C++ и изграден околу plugin-базиран дизајн. Спроведува основни anti-analysis проверки, го резолвира својот C2 домен преку јавниот DNS resolver на Google; поддржува далечински shell пристап, port forwarding, операции со фајлови, архивирање директориуми со tar, пристап до /etc/passwd и собирање атрибути од X.509 сертификати.
  • Bulbature – Linux-базиран имплант спакуван со UPX, претходно документиран од Sekoia, кој се користи за претворање на компромитираните уреди во Operational Relay Boxes (ORB). Слуша на конфигурирачки порти, отвора reverse shell-и и ја складира C2 конфигурацијата во /tmp/.cfg*, поддржува ротација на C2 и користи self-signed TLS сертификат.

TLS сертификатот на Bulbature, кој е ист како оној претходно документиран од Sekoia, е пронајден на 141 хост лоциран во Кина и Хонг Конг, чии IP адреси биле поврзани и со други семејства на малициозен софтвер како SuperShell, GobRAT и Cobalt Strike beacon-и.

Извештајот на Cisco Talos обезбедува детални технички информации за малициозниот софтвер што го користи UAT-7290, како и листа на индикатори за компромитација (IoC) со цел да им помогне на организациите да се заштитат од овој заканувачки актер.

Извори:

  • Bleeping Computer – New China-linked hackers breach telcos using edge device exploits Bleeping Computer