Критична телекомунікаційна інфраструктура країн Південної Америки з 2024 року перебуває під прицілом розвідоперацій, пов’язаних з Китаєм. За даними Cisco Talos, державнопідтримуваний APT-актор, позначений як UAT-9244, застосовує одразу три раніше невідомі імпланти для компрометації систем Windows, Linux та мережевих edge-пристроїв операторів зв’язку.
Походження UAT-9244 та пріоритетність телеком-сектора для кібершпигунства
Дослідники Talos описують UAT-9244 як кластер діяльності, тісно пов’язаний із групою FamousSparrow. Остання, своєю чергою, демонструє методичні перетини з угрупованням Salt Typhoon, яке фокусується на атаках проти телеком-операторів. Водночас наголошується, що прямих, технічно беззаперечних доказів єдності цих кластерів наразі немає, тож мова йде радше про перехрещення тактик, технік та процедур (TTPs).
Телеком-сектор традиційно є високоприоритетною ціллю державного кібершпигунства. Оператори володіють великими масивами метаданих, інформацією про геолокацію абонентів та мають можливість доступу до трафіку. Компрометація одного великого провайдера часто відкриває шлях до ланцюгового доступу до клієнтів, партнерів та суміжних критичних сервісів. Це підтверджують і галузеві звіти з кіберзагроз (зокрема ENISA Threat Landscape, Verizon DBIR), де телеком посідає одне з провідних місць серед цілей APT-кампаній.
Початковий доступ: експлуатація вразливих серверів Windows Server та Exchange
Точний вектор первинного проникнення UAT-9244 у межах цієї кампанії поки не ідентифікований. Однак раніше актор уже помічався на вразливих серверах Windows Server і Microsoft Exchange, куди завантажувався web-shell для подальшого розвитку атаки. Це вписується у широку тенденцію: APT-групи системно використовують застарілі або «забуті» сервіси, що випадають з регулярного циклу оновлень та патч-менеджменту.
TernDoor: Windows-бекдор з DLL side-loading і драйвером ядра
Для середовища Windows UAT-9244 застосовує імплант TernDoor — варіант раніше описаного CrowDoor (який, своєю чергою, походить від SparrowDoor). За оцінкою Talos, TernDoor щонайменше з листопада 2024 року доставляється методом DLL side-loading, коли зловмисники підміняють бібліотеку, що завантажується легітимною програмою.
Механізм завантаження, закріплення та приховування TernDoor
В атаці використовується легітимний файл wsprint.exe, який ініціює завантаження підміненої бібліотеки BugSplatRc64.dll. Ця DLL розшифровує та виконує основний корисний код у пам’яті, мінімізуючи артефакти на диску й ускладнюючи виявлення традиційними антивірусами.
Для закріплення в системі TernDoor застосовує заплановані завдання або гілки Registry Run, що забезпечує автозапуск при старті Windows. Вбудований драйвер Windows дозволяє зловмиснику призупиняти, відновлювати та завершувати процеси, зокрема захисні сервіси, та допомагає приховувати інші шкідливі компоненти. Єдиний параметр командного рядка -u слугує для повної деінсталяції бекдора та очищення слідів.
Після запуску TernDoor перевіряє, що він інжектований у процес msiexec.exe, декодує конфігурацію C2-сервера та встановлює зашифрований канал управління. Через нього актор може створювати процеси, виконувати команди, читати й записувати файли, збирати системну інформацію й розгортати драйвер для подальшого маскування активності.
PeerTime: P2P-бекдор для Linux та вбудованих систем із використанням BitTorrent
Під час аналізу інфраструктури UAT-9244 експерти виявили Linux-бекдор PeerTime, що працює за P2P-моделлю та підтримує архітектури ARM, AARCH, PPC, MIPS. Це дає змогу заражати не лише класичні сервери, а й вбудовані пристрої та телеком-обладнання (маршрутизатори, шлюзи, CPE).
Використання Docker та протоколу BitTorrent для стійкого C2
PeerTime розгортається через shell-скрипт, який завантажує ELF-бінарний «інструментатор» і сам імплант. Інструментатор перевіряє наявність Docker, використовуючи команди docker і docker -q, та у разі виявлення запускає завантажувач PeerTime. У ELF-файлі виявлено відладочні рядки спрощеною китайською мовою, що додатково вказує на походження розробників.
Завдання завантажувача — розшифрувати та розпакувати фінальний корисний вантаж PeerTime й виконати його в пам’яті. Імплант існує у двох гілках: рання версія на C/C++ та більш нова на Rust. PeerTime маскується під легітимні процеси й використовує протокол BitTorrent для отримання C2-конфігурації, завантаження файлів із сусідніх вузлів і їхнього виконання. P2P-архітектура значно підвищує живучість інфраструктури управління, ускладнюючи блокування та перехоплення доменів.
BruteEntry: атаки грубої сили через edge-пристрої та мережу ORB
На серверах керування UAT-9244 виявлено набір скриптів і корисних навантажень, серед яких модуль грубої сили BruteEntry, орієнтований на edge-пристрої. Компрометовані вузли перетворюються на масштабовані проксі у межах архітектури Operational Relay Box (ORB), з яких виконується перебір облікових даних до Postgres, SSH, Tomcat.
Оркестратор на Go та збір телеметрії про успішні злами
BruteEntry розгортається shell-скриптом, який встановлює два Go-компоненти: оркестратор і сканер. Оркестратор завантажує BruteEntry, після чого модуль підключається до C2, отримує список цільових IP-адрес і розпочинає атаки перебором паролів. Результати передаються назад у структурованому вигляді через поля "success" та "notes": у разі невдачі фіксується рядок “All credentials tried”, що дозволяє операторам автоматизовано фільтрувати вичерпані цілі та фокусуватися на успішних компрометаціях.
Комплексний арсенал UAT-9244 — від Windows-бекдора з драйвером ядра до P2P-імплантів для Linux і модулів грубої сили через edge-пристрої — демонструє високий рівень технічної зрілості та значні ресурси групи. Операторам зв’язку та організаціям із розподіленою інфраструктурою варто посилити патч-менеджмент Windows Server і Exchange, захист контейнерного середовища Docker, впровадити та моніторинг аномального P2P-трафіку (зокрема BitTorrent). Регулярний аудит edge-пристроїв, відключення непотрібних сервісів, запровадження мультифакторної автентифікації для SSH й адміністраторського доступу, а також детектування DLL side-loading (підозрілі запуски wsprint.exe і нетипова активність msiexec.exe) суттєво знижують ризик успішної атаки подібних APT-акторів та обмежують потенційний збиток. Інвестиції в проактивне виявлення загроз, threat hunting та навчання персоналу стають обов’язковою умовою кіберстійкості для будь-якого телеком-провайдера.
