Китайская хакерская группа атакует телеком-сектор Южной Америки с помощью нового трио вредоносных программ
Китайская группа устойчивой угрозы (APT) ведет непрерывную кампанию кибершпионажа против телекоммуникационной инфраструктуры в Южной Америке с начала 2024 года. Злоумышленник, отслеживаемый Cisco Talos под обозначением UAT-9244, атакует системы Windows и Linux, а также периферийные сетевые устройства, используя набор из трех специальных вредоносных имплантов. Исследователи полагают, что эта группа тесно связана с другим кластером, известным как FamousSparrow, который, в свою очередь, имеет тактические совпадения с китайской шпионской группировкой Salt Typhoon, печально известной своими атаками на телеком-провайдеров по всему миру.
Кампания использует три различных, ранее не документированных импланта, адаптированных для разных систем. Для среды Windows злоумышленники применяют бэкдор "TernDoor", доставляемый через side-loading DLL, который использует легитимный исполняемый файл для расшифровки и запуска финальной полезной нагрузки в памяти. Для Linux-систем используется "PeerTime". Для компрометации периферийных сетевых устройств группа применяет инструмент под названием "BruteEntry".
Технический анализ показывает, что TernDoor представляет собой сложную эволюцию известного вредоносного ПО. Это вариант Crowdoor, который, в свою очередь, произошел от SparrowDoor, и используется UAT-9244 как минимум с ноября 2024 года. Вредоносная программа обеспечивает устойчивость на хосте с помощью запланированных задач или ключей реестра Run. Она отличается от своих предшественников другим набором командных кодов и внедрением драйвера Windows, способного манипулировать процессами.
Для скрытности бэкдор поддерживает единственный ключ командной строки ("-u"), предназначенный исключительно для самоудаления и стирания всех следов своей деятельности на скомпрометированной системе. Точный начальный вектор заражения остается неясным, хотя известно, что противник ранее использовал уязвимости в устаревшем программном обеспечении Windows Server и Microsoft Exchange Server для установки веб-шеллов.
