详细内容或原文请订阅后点击阅览

与中国相关的 UAT-7290 使用模块化恶意软件监视南亚和欧洲的电信公司

2026年1月9日 09:47 33 Comments
X Twitter Instagram Mail

与中国相关的 UAT-7290 自 2022 年以来一直以南亚和东南欧为目标,进行间谍活动并部署 RushDrop、DriveSwitch 和 SilentRaid。与中国有关的威胁组织 UAT-7290 至少自 2022 年以来一直针对南亚和东南欧发动间谍攻击。 UAT-7290 主要针对电信提供商,它通过深入嵌入受害者网络来进行间谍活动,并运营运营 [...]

来源:Security Affairs _恶意软件

与中国相关的 UAT-7290 使用模块化恶意软件监视南亚和欧洲的电信公司

与中国相关的 UAT-7290 自 2022 年以来一直以南亚和东南欧为目标,进行间谍活动并部署 RushDrop、DriveSwitch 和 SilentRaid。

与中国有关的威胁组织 UAT-7290 至少自 2022 年以来一直针对南亚和东南欧进行间谍攻击。

UAT-7290 主要针对电信提供商,它通过深度嵌入受害者网络来进行间谍活动,还运营后来被其他中国关系参与者重复使用的操作中继盒 (ORB) 基础设施,这表明它具有间谍活动和初始访问提供商的双重角色。

威胁行为者使用广泛的工具集,包括开源工具、自定义恶意软件和针对边缘网络设备的一日攻击,喜欢 Linux 恶意软件,但也部署 RedLeaves 和 ShadowPad 等 Windows 植入程序。攻击之前会进行广泛的侦察,并依赖 PoC 漏洞和 SSH 暴力破解。其 TTP、基础设施和受害者学与已知的与中国结盟的组织有重叠,例如与解放军 69010 部队有联系的 APT10 和 Red Foxtrot。

“Talos 目前跟踪与本次入侵中的 UAT-7290 相关的基于 Linux 的恶意软件系列:

  • RushDrop – 启动感染链的滴管。 RushDrop 也称为 ChronosRAT。
  • DriveSwitch – 一种外围恶意软件,用于在受感染系统上执行主要植入程序。
  • SilentRaid – 入侵中的主要植入物,旨在建立对受感染端点的持久访问。它与其命令和控制服务器(C2)通信并执行恶意软件中定义的任务。 SilentRaid 也称为 MystRodX。”阅读思科 Talos 发布的报告。

    • “UAT-7290 在受感染设备上植入的另一个恶意软件是 Bulbature。Bulbature 于 2024 年末由 Sekoia 首次披露,是一种用于将受感染设备转换为 ORB 的植入程序。”

    该报告包含妥协指标 (IoC)。

    皮尔路易吉·帕格尼尼

    (SecurityAffairs – 黑客,中国)

    提供商 组织 已知的 SilentRaid 模块化 运营后 间谍活动 感染 7290 参与者 联系的 UAT 访问 广泛的 南亚 RushDrop 恶意软件 进行 植入 服务器 相关的 使用的 电信公司 设备的 基础设施 有关的 中国 发布的 攻击