Ваш сервер — их притон: как группа UAT-7290 сдает ваши сервера в аренду своим друзьям. Дорого
NewsMakerДумали, на Linux безопасно? SilentRaid уже внутри и передает привет вашему /etc/passwd.
Специалисты Cisco Talos сообщили о расширении активности хакерской группы, которая использует вредоносные программы под Linux для атак на телекоммуникационные компании . Если раньше такие операции в основном фиксировались в Южной Азии, то теперь те же инструменты и приёмы стали появляться и в странах Юго-Восточной Европы.
В отчётах Cisco эту группировку отслеживают под обозначением UAT-7290. По ряду технических признаков исследователи связывают её с Китаем. Активность группы прослеживается как минимум с 2022 года. При этом она играет двойную роль: не только проводит собственные разведывательные атаки, но и готовит инфраструктуру для первичного доступа, которую позже используют другие связанные с Китаем хакерские команды.
1 из ключевых элементов таких операций — так называемые Operational Relay Box, или ORB. Это скомпрометированные серверы и сетевые устройства, которые превращаются в промежуточные узлы для управления атаками и маскировки реального источника трафика. UAT-7290 разворачивает такие узлы ещё на раннем этапе взлома, после чего ими могут пользоваться и другие группы.
Перед атакой злоумышленники тщательно изучают выбранную цель. Для проникновения они используют сочетание собственных инструментов, открытого программного обеспечения и публичных эксплойтов для уже известных уязвимостей в пограничных сетевых устройствах. По данным Cisco Talos, группа активно применяет one-day-эксплойты и целенаправленный подбор SSH-доступов, чтобы взломать устройства, доступные из интернета, а затем закрепиться в системе и повысить привилегии.
Специалисты Cisco Talos сообщили о расширении активности хакерской группы, которая использует вредоносные программы под Linux для атак на телекоммуникационные компании . Если раньше такие операции в основном фиксировались в Южной Азии, то теперь те же инструменты и приёмы стали появляться и в странах Юго-Восточной Европы.
В отчётах Cisco эту группировку отслеживают под обозначением UAT-7290. По ряду технических признаков исследователи связывают её с Китаем. Активность группы прослеживается как минимум с 2022 года. При этом она играет двойную роль: не только проводит собственные разведывательные атаки, но и готовит инфраструктуру для первичного доступа, которую позже используют другие связанные с Китаем хакерские команды.
1 из ключевых элементов таких операций — так называемые Operational Relay Box, или ORB. Это скомпрометированные серверы и сетевые устройства, которые превращаются в промежуточные узлы для управления атаками и маскировки реального источника трафика. UAT-7290 разворачивает такие узлы ещё на раннем этапе взлома, после чего ими могут пользоваться и другие группы.
Перед атакой злоумышленники тщательно изучают выбранную цель. Для проникновения они используют сочетание собственных инструментов, открытого программного обеспечения и публичных эксплойтов для уже известных уязвимостей в пограничных сетевых устройствах. По данным Cisco Talos, группа активно применяет one-day-эксплойты и целенаправленный подбор SSH-доступов, чтобы взломать устройства, доступные из интернета, а затем закрепиться в системе и повысить привилегии.