Критическая телекоммуникационная инфраструктура в странах Южной Америки с 2024 года находится под прицельной атакой продвинутой хакерской группировки, связанной с Китаем. По данным Cisco Talos, APT-актор, получивший обозначение UAT-9244, использует сразу три ранее неизвестных импланта для компрометации систем Windows, Linux и сетевых edge-устройств операторов связи.
Китайская APT-группа UAT-9244 и её связь с FamousSparrow и Salt Typhoon
Эксперты Cisco Talos описывают UAT-9244 как кластер активности, тесно связанный с группой FamousSparrow. Последняя, в свою очередь, демонстрирует методические перекрытия с группировкой Salt Typhoon, известной целенаправленными атаками на телеком-операторов. При этом подчёркивается, что, несмотря на схожие цели и тактики, прямых и однозначных технических доказательств единства этих кластеров пока не выявлено.
Сектор связи традиционно является приоритетной целью государственно-ориентированного кибершпионажа: операторы обладают объёмами метаданных, сведениями о местоположении абонентов и каналами для возможного перехвата трафика. Атаки на телеком-компании позволяют злоумышленникам получать доступ не только к одной организации, но и к её клиентской базе и партнёрам.
Неизвестный вектор начального доступа и эксплуатация уязвимых серверов
Точный способ первичного проникновения UAT-9244 в сеть жертв в рамках описанной кампании не установлен. Однако ранее актор уже фиксировался на уязвимых серверах Windows Server и Microsoft Exchange, куда загружались web-shell для дальнейшего развития атаки. Это соответствует общей тенденции: многие APT-группы продолжают эксплуатировать забытые или устаревшие сервисы, которые остаются за рамками регулярного патч-менеджмента.
TernDoor: продвинутый Windows-бэкдор с DLL side-loading и драйвером
Для систем Windows UAT-9244 применяет имплант TernDoor — вариант ранее описанного CrowDoor (который, в свою очередь, является модификацией SparrowDoor). По данным Talos, TernDoor используется группировкой как минимум с ноября 2024 года и загружается методом DLL side-loading, когда злоумышленники подменяют библиотеку, подгружаемую легитимным приложением.
Механизм загрузки и закрепления TernDoor
В атаке задействуется легитимный файл wsprint.exe, который запускает подменённую библиотеку BugSplatRc64.dll. Эта DLL расшифровывает и исполняет основной полезный груз непосредственно в памяти, что затрудняет детектирование классическими антивирусами. Для закрепления на системе TernDoor использует запланированную задачу или ключи Registry Run, позволяя автоматически запускать себя при старте Windows.
Дополнительной особенностью TernDoor является встроенный драйвер Windows, позволяющий приостанавливать, возобновлять и завершать процессы. Это даёт злоумышленнику тонкий контроль над системными и защитными процессами, а также возможность скрывать вредоносные компоненты. Единственный поддерживаемый параметр командной строки -u используется для полной деинсталляции бэкдора и очистки артефактов — важная функция для сокрытия следов операции.
После запуска TernDoor проверяет, что он инжектирован в процесс msiexec.exe, декодирует конфигурацию с параметрами командного центра (C2) и устанавливает шифрованный канал связи. Через этот канал злоумышленник может создавать процессы, выполнять произвольные команды, читать и записывать файлы, собирать системную информацию и развёртывать драйвер для дальнейшего скрытия активности.
PeerTime: P2P-бэкдор для Linux и встраиваемых систем с использованием BitTorrent
Анализ инфраструктуры UAT-9244 позволил выявить Linux-бэкдор PeerTime, работающий по модели peer-to-peer (P2P) и ориентированный на широкий спектр архитектур: ARM, AARCH, PPC и MIPS. Это позволяет поражать не только классические серверы, но и многочисленные встраиваемые устройства и сетевое оборудование в телеком-сегменте.
Инструментатор, Docker и китайские артефакты
PeerTime разворачивается через shell-скрипт, который загружает ELF-бинарь-инструментатор и сам имплант. Исследователи Cisco Talos Ашир Малхотра и Брэндон Уайт отмечают, что инструментатор проверяет наличие Docker на скомпрометированном хосте, используя команды docker и docker -q. Если Docker обнаружен, запускается загрузчик PeerTime. В ELF-файле присутствуют отладочные строки на упрощённом китайском языке, что указывает на разработку утилиты китайскоязычными операторами.
Основная задача загрузчика — расшифровать и распаковать финальный полезный груз PeerTime и выполнить его в памяти, минимизируя следы на диске. Существуют две ветки PeerTime: более ранняя версия на C/C++ и более новая реализация на Rust. Имплант способен маскироваться под безобидный процесс и использует протокол BitTorrent для получения конфигурации C2, загрузки файлов от соседних узлов и их выполнения. P2P-модель делает инфраструктуру командования более устойчивой к блокировкам и захвату доменов.
BruteEntry: силовой перебор через edge-устройства и сеть ORB
На серверах злоумышленников также обнаружен набор скриптов и полезных нагрузок, включая модуль грубой силы BruteEntry, нацеленный на edge-устройства. Эти устройства превращаются в масштабируемые прокси-узлы в рамках архитектуры Operational Relay Box (ORB), с которых выполняется перебор учётных данных к серверам Postgres, SSH и Tomcat.
Оркестратор на Golang и отчёт о взломанных учётных записях
Развёртывание BruteEntry осуществляется через shell-скрипт, который устанавливает два компонента на языке Go: оркестратор и сам сканер. Оркестратор загружает BruteEntry, после чего модуль связывается с C2, получает список целевых IP-адресов и начинает атаки грубой силы. По завершении каждая попытка входа фиксируется и отправляется обратно на сервер управления.
В отчёте Talos подчёркивается, что результат передаётся в виде полей "success" и "notes": первое указывает, удалось ли подобрать пароль, второе содержит текстовое описание. При неудачной атаке в поле "notes" указывается строка “All credentials tried”, что позволяет операторам кампании автоматически фильтровать уже исчерпанные цели и концентрироваться на успешно скомпрометированных системах.
Комплексный набор инструментов UAT-9244 — от Windows-бэкдора с драйвером до P2P-имплантов для Linux и силового перебора через edge-устройства — демонстрирует высокий уровень зрелости и ресурсную обеспеченность группировки. Операторам связи и другим организациям, управляющим распределённой инфраструктурой, следует уделить особое внимание управлению обновлениями Windows Server и Exchange, защите контейнерной среды Docker, жёсткой сегментации сети и мониторингу аномального P2P-трафика (включая BitTorrent). Регулярный аудит edge-устройств, отключение неиспользуемых сервисов, применение многофакторной аутентификации для SSH и админ-доступа, а также детектирование DLL side-loading (например, подозрительных запусков wsprint.exe и аномальной активности msiexec.exe) позволяют значительно снизить вероятность успешной атаки подобных APT-акторов и ограничить масштаб возможного ущерба.
