Professzionális támadási módszerek
A támadók a támadás előtt alapos felderítést végeznek, majd egyedi és nyílt forráskódú rosszindulatú programokat, valamint ismert hibákra alapuló publikus exploitokat vetnek be a hálózati peremeszközök ellen. Egynapos és kétnapos sérülékenységeket, illetve célzott SSH-jelszótöréseket alkalmaznak, hogy áthatoljanak a védelmen és rendszergazdai jogokat szerezzenek.
Eszköztár: Linuxos kártevőarzenál
Az UAT-7290 főleg Linux-alapú kártevőket használ, néha azonban Windowsos beépülőket is bevet, például a RedLeaves-t vagy a ShadowPad-et. A legfontosabb, azonosított linuxos eszközeik:
RushDrop (ChronosRAT) – ez indítja a fertőzési láncot, ellenőrzi, illetve létrehozza az elrejtett .pkgdb könyvtárat, három beágyazott binárist dekódol (köztük a DriveSwitch-et és a SilentRaid-et), valamint a rendszerparancsokat végrehajtó BusyBoxot is beveti.
A DriveSwitch a SilentRaid-et indítja el, amely a fő, tartós implantátumként szolgál. Ez C++-ban írt, bővítményalapú felépítésű, amely távoli parancsvégrehajtást, porttovábbítást, fájlműveleteket, archívumkezelést, valamint jelszavakhoz és X.509-es tanúsítványattribútumokhoz is hozzáférést biztosít.
A Bulbature nevű, linuxos, tömörített implantátum meghatározott portokon figyel, root shelleket nyit, C2-utasításokat kezel, és önaláírt TLS-tanúsítványokkal dolgozik.
Kiterjedt kínai infrastruktúra
A Bulbature-hoz tartozó tanúsítványokat Kínában és Hongkongban működő 141 szerveren is megtalálták, amelyek kapcsolatba hozhatók más ismert kártevőkkel, mint a SuperShell vagy a Cobalt Strike. A támadók folyamatosan bővítik infrastruktúrájukat, így a távközlési szektor egyre nagyobb veszélyben van.
