UAT-7810 Çinli Hacker Grubu, ORB Ağını Genişletmek İçin LONGLEASH Adlı Yeni Kötü Amaçlı Yazılım Geliştiriyor Siber Güvenlik

UAT-7810 Çinli Hacker Grubu, ORB Ağını Genişletmek İçin LONGLEASH Adlı Yeni Kötü Amaçlı Yazılım Geliştiriyor

Çinli hacker grubu UAT-7810, Ruckus ve ASUS yönlendiricilerindeki açıkları kullanarak ORB ağını genişletmek için LONGLEASH adlı yeni bir kötü amaçlı y

Cisco Talos araştırmacıları, 'UAT-7810' olarak izlenen Çinli hacker grubunun, Operasyonel Aktarma Kutusu (ORB) ağını genişletmek için kötü amaçlı yazılımlarını aktif olarak geliştirdiğini tespit etti. Saldırganlar, özellikle yamasız Ruckus yönlendiricileri olmak üzere internete bağlı ağ cihazlarını hedef alıyor. ORB ağı, diğer Çin bağlantılı gelişmiş kalıcı tehditler (APT) için güvenli bir aktarma altyapısı görevi görüyor.

Google Mandiant tarafından daha önce belgelenen bu altyapı türü, tehdit aktörlerinin ağ trafiğini bölgesel cihazlar üzerinden yönlendirmesine olanak tanıyarak trafiğin meşru yerel altyapıdan geliyormuş gibi görünmesini sağlıyor. Bu sayede tespit edilmekten kaçınıyor ve ilişkilendirme zorlaşıyor. Talos analistleri, kampanyada LONGLEASH, DOGLEASH, JARLEASH ve LEASHTEST dahil olmak üzere yeni kötü amaçlı yazılımlar tespit etti.

Yeni keşfedilen LONGLEASH kötü amaçlı yazılımı, SHORTLEASH'ın yükseltilmiş bir sürümü olup yeteneklerini önemli ölçüde genişletiyor. Önceki sürümün komuta ve kontrol (C2) iletişimi, web sunucusu barındırma, ağ tünel yönetimi gibi özelliklerine ek olarak, ters kabuk, HTTP, DNS, SOCKS, TCP, ICMP ve UDP proxy'leme, SMTP istemci/sunucu işlevselliği, TLS ve PKI desteği, kendi kendini kaldırma ve ara C2 sunucusu olarak çalışma gibi yeni yetenekler eklenmiş.

Uzmanların Görüşleri

Talos araştırmacıları ayrıca DOGLEASH adlı hafif bir Linux arka kapısı, JARLEASH adlı Java tabanlı bir yönetim aracı ve LEASHTEST adlı bir test yardımcı programı keşfetti. DOGLEASH, web shell betikleri aracılığıyla dağıtılıyor ve sabit kodlanmış bir şifre ile kimlik doğrulaması yaparak kabuk komut yürütme, dosya erişimi ve değişikliği, işletim sistemi bilgisi alma ve rastgele kod çalıştırma gibi işlemleri destekliyor. UAT-7810, ORB altyapısını genişletmeye devam ederken SHORTLEASH'ı daha yetenekli LONGLEASH ile değiştiriyor ve araç setine yeni kötü amaçlı yazılımlar ekliyor.

Paylaş: