Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Кинески државни хакери таргетираат телекомуникациски компании со нов пакет на malware

Објавено: 06.03.2026

Напредна постојана закана поврзана со Кина, следена под името UAT-9244, таргетира телекомуникациски компании во South America од 2024 година, компромитирајќи Windows, Linux и network-edge уреди.

Според истражувачите од Cisco Talos, напаѓачот е тесно поврзан со хакерските групи FamousSparrow и Tropic Trooper, но сепак се следи како одделен кластер на активности.

Оваа проценка има високо ниво на сигурност, базирана на слични алатки, тактики, техники и процедури (TTPs), како и на профилот на жртвите во нападите кои им се припишуваат на овие актери. Истражувачите додаваат дека иако UAT-9244 има слични цели како групата Salt Typhoon, не можеле да потврдат директна врска меѓу двата кластери.

Нов malware насочен кон телекомуникациски мрежи

Истражувачите откриле дека кампањата користи три претходно непознати malware семејства:

  • TernDoor – backdoor за Microsoft Windows
  • PeerTime – Linux backdoor што користи BitTorrent протокол
  • BruteEntry – brute-force скенер што создава proxy инфраструктура (ORBs)

TernDoor

Malware-от TernDoor се инсталира преку техника наречена DLL side-loading, користејќи легитимна извршна датотека wsprint.exe за да вчита злонамерен код од BugSplatRc64.dll. Оваа DLL датотека го дешифрира и извршува финалниот payload во меморијата, инјектиран во процесот msiexec.exe.

Malware-от содржи и вграден Windows driver – WSPrint.sys, кој се користи за:

  • прекинување на процеси
  • паузирање и продолжување на процеси

Постојаноста (persistence) се обезбедува преку:

  • scheduled tasks
  • модификации во Windows Registry

Овие техники се користат и за скривање на задачите во системот.

TernDoor може да:

  • извршува команди преку remote shell
  • стартува произволни процеси
  • чита и запишува датотеки
  • собира системски информации
  • се само-деинсталира за да ги избрише трагите

PeerTime

PeerTime е ELF Linux backdoor кој таргетира повеќе архитектури:

  • ARM
  • AARCH
  • PPC
  • MIPS

Ова укажува дека malware-от е дизајниран за компромитирање на широк спектар на embedded системи и мрежни уреди што се користат во телекомуникациските инфраструктури.

Ако сакаш, можам да ти објаснам и зошто телекомуникациските компании се една од главните цели на државните хакерски групи (и што реално можат да шпионираат преку нив) – таму има многу интересни детали. 📡🔐

Процес на инсталација на PeerTime

Истражувачите од Cisco Talos документирале две верзии на malware-от PeerTime. Едната варијанта е напишана на C/C++, додека другата е базирана на Rust. Истражувачите забележале и debug стрингови на поедноставен кинески јазик, што укажува на неговото можно потекло од China.

Неговиот payload се дешифрира и се вчитува директно во меморијата, а процесот се преименува за да изгледа како легитимен системски процес, со цел да избегне детекција.

PeerTime е ELF-базиран peer-to-peer (P2P) backdoor кој го користи BitTorrent протоколот за command-and-control (C2) комуникација. Тој може да:

  • презема payload-и од други инфицирани уреди (peers)
  • ги извршува на компромитираниот систем
  • користи BusyBox за запишување датотеки на хостот

На крај, тука е и BruteEntry, кој се состои од:

  • instrumentor бинарен фајл напишан на Go
  • компонента за brute-force напади

Неговата улога е да ги претвори компромитираните уреди во скенирачки јазли, познати како Operational Relay Boxes (ORBs), кои потоа се користат за скенирање и напаѓање на други системи на интернет. 🔐

Инфекциски синџир на BruteEntry

Напаѓачите ги користат машините заразени со BruteEntry за скенирање на нови цели и за brute-force напади со цел добивање пристап до сервиси како:

  • SSH
  • PostgreSQL
  • Apache Tomcat

Резултатите од обидите за најава се испраќаат назад до command-and-control (C2) серверот, заедно со статус на задачата и дополнителни белешки за секоја цел.

Во технички извештај објавен денес, истражувачите од Cisco Talos даваат детални информации за можностите на трите malware алатки, како се распоредуваат на системите и како обезбедуваат постојан пристап (persistence).

Истражувачите од Cisco Talos исто така објавија Indicators of Compromise (IoCs) поврзани со активностите на групата UAT-9244, кои безбедносните тимови можат да ги користат за рано откривање и блокирање на овие напади. 🔐

Извори:

  • Bleeping Computer – Chinese state hackers target telcos with new malware toolkit Bleeping Computer